AD用户修改密码，新旧密码均可以使用问题

公司OA系统使用AD进行认证，近期测试发现用户重置密码后，旧密码在必定时间内仍能够继续使用。

 

通过查阅资料发现，在server 2008级别的AD下，旧密码生存期为5分钟，在server 2003级别的AD下，旧密码生存期为60分钟。

 

这个5分钟就是为了防止AD同步延时问题，防止DC数量比较多时，用户登陆所在的站点内尚未成功的更新到密码的修改的状况。。这样，即便新密码没有生效，旧密码依然可用。有些网络效率不高的状况下，是会发生密码同步须要必定时间的状况的。鉴于这样的考虑，咱们的旧密码，就有启用了一种生存时间的概念。

 

值得注意的是，这个缓存，在LDAP验证方式中存在，但却不存在于kerberos验证方式中。换句话说，也就是咱们最多见的使用Ctrl-Alt-Del的交互式方式登陆到桌面系统是不会存在旧密码可用的状况的。

 

如下为修改生存期步骤

 

1. 单击开始，单击运行，键入regedit，而后单击肯定

2. 找到并单击以***册表子项：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. 在编辑菜单上，指向新建，而后单击DWORD 值。

4. 同名的 dword 值，键入OldPasswordAllowedPeriod ，而后按 enter 键。

5. OldPasswordAllowedPeriod，用鼠标右键单击，而后单击修改。

6. 在数值数据框中，键入所需的分钟数，值，而后单击肯定。
   
   注意:寿命期间设置以分钟为单位。若是未设置此注册表值，默认生存期期间旧密码为 60 分钟。

7. 退出注册表编辑器。
   
   注意:此注册表设置不要求从新启动就能生效。