¿La contraseña realmente caduca?

9

Uno puede habilitar la caducidad de la contraseña (también conocida como edad máxima de la contraseña) en un dominio de Windows.

Sin embargo, estoy un poco perplejo sobre el significado de la llamada caducidad: parece que la contraseña realmente no caduca. Simplemente, al iniciar sesión por primera vez después de "vencimiento", el usuario debe modificar su contraseña. En otras palabras, si la contraseña caduca el 18 de noviembre, todavía se puede iniciar sesión el 20 de noviembre (pero luego debe modificar su contraseña de inmediato).

La cuenta de usuario no está bloqueada (o cualquier otro estado similar) en la fecha de vencimiento.

¿Es esto correcto? ¿O me perdí algo?

password windows password-policy Serge Wautier
fuente
Esta es una de esas cosas en las que se debe determinar qué significa la palabra "expirado". ¿Ha caducado la contraseña? Bueno, el usuario puede iniciar una sesión interactiva pero se ve obligado a cambiar su contraseña de inmediato. No pueden acceder a ningún recurso de dominio ni completar el inicio de sesión hasta que cambien su contraseña. ¿Cumple con la definición de la palabra "expirado"? Además, una contraseña caducada y una cuenta bloqueada son dos cosas independientes. Uno no necesariamente depende del otro.
joeqwerty

Respuestas:

8

Sí, eso es cierto, el usuario no está bloqueado o deshabilitado una vez que la contraseña caduca, el usuario simplemente se ve obligado a cambiar su contraseña una vez que inicia sesión después de la fecha de caducidad.

Si necesita que el usuario no pueda iniciar sesión después de una fecha de vencimiento, puede configurar la cuenta de usuario para que caduque después de una fecha determinada. Pero no de forma dinámica. Si desea, por ejemplo, deshabilitar automáticamente la cuenta de usuario después de que no hayan iniciado sesión durante más de 90 días, necesitaría hacer un script con (por ejemplo) Powershell.

Ryan Ries
fuente
2
La cuenta de usuario no está bloqueada, pero el usuario se ve obligado a cambiar la contraseña, lo que significa que no puede acceder a ningún recurso de dominio hasta que lo haga. Es posible que no cumpla con la definición estricta de la palabra "caducado", pero para todos los efectos, la contraseña ya no es válida para acceder a los recursos del dominio.
joeqwerty
Esto es verdad. Sin embargo, todavía puedo iniciar sesión en una sesión interactiva y recibir el mensaje "cambie su contraseña ahora".
Ryan Ries
2
No puede completar la parte de inicio de sesión interactivo sin cambiar la contraseña, y no puede acceder a ningún recurso. No es un período de gracia: esa contraseña caducada le permite hacer una cosa, que es cambiarla.
mfinni