问如何配置活动目录，使密码在午夜过期？

EN

我认为，如果不手动更改ADSI编辑中的PwdLastSet属性，这是不可能的，我不建议这样做。

自1601年1月1日凌晨12:00起，该值以100纳秒的间隔存储.但是，编辑属性的唯一选项是将其设置为0 (密码现在过期，用户必须重置)，或-1 ( PwdLastSet的值更改为当前日期/时间)。

正如注释中提到的，您需要首先将值设置为0，然后将其设置为-1。

您可能会为所有用户编写脚本，以便在给定的一天午夜将属性更新为-1。然而，这将设置所有用户的密码在N天内过期@午夜(N是您的域密码策略最大年龄设置)。这可能会延长密码的最大使用年限。

将密码设置为午夜到期的目标是什么？

Windows根本不支持全局应用的“密码过期时间”的概念。您也不能设置时间，除非说它现在过期了，或者说它刚刚更改。但是，您可以使用命令行AD工具或powershell编写一个夜间运行的脚本:它可以查询密码将在24小时内过期的用户(pwdLastSet比密码的最大年龄天数短一天)，并将其设置为-1 (密码过期)。这将避免无意中延长密码寿命，也避免了中午密码过期。

也有第三方工具可以为你做这样的事情。例如，日立ID密码管理器( Hitachi ID Password Manager )的一个功能允许您弹出一个web浏览器，其中用户必须更改其密码，否则将被注销，您可以将其设置为在实际过期前发生任意天数的事件。