msDS UserPasswordExpiryTimeComputed计算的全局编录复制

Question

我目前正在尝试找出AD用户密码的过期日期。

使用许多页面上描述的方法，例如here，工作正常，直到AD中的用户或组使用不遵循用户域密码策略的细粒度密码策略。

我发现了一个名为msDS-UserPasswordExpiryTimeComputed的属性，它可以在不进行任何计算的情况下计算出所有的值。

这很好用，除非我们使用全局编录，因为默认情况下不会复制此属性。尝试在全局编录中复制msDS-UserPasswordExpiryTimeComputed属性时，出现以下错误：

​

​

有没有办法复制这个属性，或者我的设置出了什么问题，不允许我复制这个属性？是否有更好的方法来计算用户密码过期时间，以考虑细粒度密码策略？

Answer 1

我怀疑你不能。我找不到任何权威文档说这是不可能的，但以下是我认为不可能的原因：

1. 属性已构建，这意味着它不会存储，但会在您请求它时进行计算。
2. 日期取决于域上的策略，因此返回数据的服务器需要知道用户的域上的策略。
3. 由于GC可能不在您找到的用户所在的域上，因此它可能没有计算该值所需的信息。

作为一种变通方法，您可以重新绑定到DC以获取该值。您没有说明您正在使用哪种语言，但通常您可以采用找到的对象的路径，该路径将以"GC://“开头，然后将其替换为"LDAP://”。然后获取msDS-UserPasswordExpiryTimeComputed值。