msDS-UserPasswordExpiryTimeComputed глобальный каталог репликации

Question

В настоящее время я пытаюсь выяснить дату окончания срока действия пароля пользователей AD.

Использование методов, описанных на многочисленных страницах, например, здесь , работает нормально, пока пользователь или группа в AD не используетдетальная политика паролей, которая не соответствует политике паролей домена пользователей.

Я обнаружил свойство msDS-UserPasswordExpiryTimeComputed, которое вычисляет все это без попыток выполнить какие-либо вычисления.

Это работает хорошо,пока мы не используем глобальный каталог, так как это свойство не реплицируется по умолчанию.Когда я пытаюсь реплицировать свойство msDS-UserPasswordExpiryTimeComputed в моем глобальном каталоге, я получаю следующую ошибку:

В любом случае можно реплицировать это свойство иличто-то не так с моей настройкой, которая не позволяет мне копировать это свойство?Есть ли лучший способ рассчитать срок действия пароля пользователя с учетом политики точных паролей?

Answer 1

Я подозреваю, что вы не можете.Я не могу найти никакой авторитетной документации, утверждающей, что это невозможно, но вот причины, по которым я считаю, что это невозможно:

1. Атрибут создан, то есть он не сохранен, но рассчитывается во времявы просите об этом.
2. Дата зависит от политики в домене, поэтому сервер, возвращающий данные, должен знать политику в отношении домена пользователя.
3. Поскольку GC может ненаходиться в домене пользователя, которого вы находите, у него может не быть информации, необходимой для возможности вычисления значения.

В качестве обходного пути вы можете просто привязаться к DC, чтобы получить значение.Вы не сказали, с каким языком вы работаете, но обычно вы можете взять путь к найденному объекту, который будет начинаться с «GC: //», и просто заменить его на «LDAP: //».Затем возьмите значение msDS-UserPasswordExpiryTimeComputed.