公司OA系统使用AD进行认证,近期测试发现用户重置密码后,旧密码在一定时间内仍可以继续使用。

 

经过查阅资料发现,在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。

 

这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。。这样,即使新密码没有生效,旧密码依然可用。有些网络效率不高的情况下,是会发生密码同步需要一定时间的情况的。鉴于这样的考虑,我们的旧密码,就有启用了一种生存时间的概念。

 

值得注意的是,这个缓存,在LDAP验证方式中存在,但却不存在于kerberos验证方式中。换句话说,也就是我们最常见的使用Ctrl-Alt-Del的交互式方式登录到桌面系统是不会存在旧密码可用的情况的。

 

以下为修改生存期步骤

 

  1. 单击开始,单击运行,键入regedit,然后单击确定

  2. 找到并单击以***册表子项:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. 编辑菜单上,指向新建,然后单击DWORD 值

  4. 同名的 dword 值,键入OldPasswordAllowedPeriod ,然后按 enter 键。

  5. OldPasswordAllowedPeriod,用鼠标右键单击,然后单击修改

  6. 数值数据框中,键入所需的分钟数,值,然后单击确定

    注意:寿命期间设置以分钟为单位。如果未设置此注册表值,默认生存期期间旧密码为 60 分钟。

  7. 退出注册表编辑器。

    注意:此注册表设置不要求重新启动就能生效。