Проверка правильности пароля пользователя при истечении срока действия пароля в Active direcory

Question

Я работаю в сценарии, когда пароль пользователя уже истек в Active Directory. Я пытаюсь проверить, введен ли пользователь действительное имя пользователя и соответствующий действительный, но истекший пароль или нет. Если пользователь вводит правильное имя пользователя и исправляет истекший пароль, я перенаправляю их на страницу, где они могут сбросить пароль. Однако, если пользователь вводит неверный пароль с истекшим сроком действия, пользователь должен получать уведомление со стандартным сообщением UserName and or password is not correct. Я проверил онлайн, и они говорят об использовании метода validatecredentials после установки pwdLastSet в -1 для отключения user must change password at next logon.

How to check AD user credentials when the user password is expired or "user must change password at next logon"

Будет ли этот подход позволяет мне проверить правильность истечения срока действия пароля? Я пробовал этот подход, и, похоже, он не работает для меня.

Answer 1

Yup - API ValidateCredentials дает слишком много ложных срабатываний.

Это что-то черное, но вы можете проверить User-Account-Control attribute и ms-DS-User-Account-Control-Computed attribute, у обоих из которых есть бит «Истек срок действия пароля».

Обычно я использую вышеуказанное, но некоторые люди предлагают использовать Windows API напрямую - см. Active Directory (LDAP) - Check account locked out/Password expired.