AD用戶修改密碼，新舊密碼均可以使用問題

公司OA系統使用AD進行認證，近期測試發現用戶重置密碼後，舊密碼在必定時間內仍能夠繼續使用。

 

通過查閱資料發現，在server 2008級別的AD下，舊密碼生存期爲5分鐘，在server 2003級別的AD下，舊密碼生存期爲60分鐘。

 

這個5分鐘就是爲了防止AD同步延時問題，防止DC數量比較多時，用戶登陸所在的站點內尚未成功的更新到密碼的修改的狀況。。這樣，即便新密碼沒有生效，舊密碼依然可用。有些網絡效率不高的狀況下，是會發生密碼同步須要必定時間的狀況的。鑑於這樣的考慮，咱們的舊密碼，就有啓用了一種生存時間的概念。

 

值得注意的是，這個緩存，在LDAP驗證方式中存在，但卻不存在於kerberos驗證方式中。換句話說，也就是咱們最多見的使用Ctrl-Alt-Del的交互式方式登陸到桌面系統是不會存在舊密碼可用的狀況的。

 

如下爲修改生存期步驟

 

1. 單擊開始，單擊運行，鍵入regedit，而後單擊肯定

2. 找到並單擊以***冊表子項：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. 在編輯菜單上，指向新建，而後單擊DWORD 值。

4. 同名的 dword 值，鍵入OldPasswordAllowedPeriod ，而後按 enter 鍵。

5. OldPasswordAllowedPeriod，用鼠標右鍵單擊，而後單擊修改。

6. 在數值數據框中，鍵入所需的分鐘數，值，而後單擊肯定。
   
   注意:壽命期間設置以分鐘爲單位。若是未設置此註冊表值，默認生存期期間舊密碼爲 60 分鐘。

7. 退出註冊表編輯器。
   
   注意:此註冊表設置不要求從新啓動就能生效。