Я заметил очень странное поведение в моем домене AD.
Наша политика паролей заставляет пользователей менять пароли каждые 3 месяца.
Я запустил в моей AD этот запрос LDAP:
(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=65536)(!userAccountControl:1.2.840.113556.1.4.803:=2)(pwdLastSet<=130256028164025203))
Он ищет пользователей, которые не имеют "Пароль никогда не истекает", которые включены и которые в последний раз их пароли были изменены до 7.09.2013 (около 4 месяцев назад).
Этот запрос обнаружил несколько сотен пользователей, которые не меняли там пароли более 4 месяцев.
Я также посмотрел в msDS-UserPasswordExpiryTimeComputed и для него установлено значение "никогда" (конечно, только для пользователей из запроса).
При написании статьи я также заметил, что эти пользователи не получают никакой политики паролей (атрибут msDS-PSOApplied пуст), даже если они находятся под той же политикой, что и другие беспроблемные пользователи.
Итак, суть в том, почему они не получают никакой политики паролей, в то время как другие пользователи (в том же подразделении, в тех же группах и т.д.) Получают?