ADユーザーの「最終パスワード変更日時」が、常に現在時刻として表示される。

需要があるかは分からないのですが、ちょっと調べた内容をメモがてら共有。

ADユーザーの「最終パスワード変更日時」について

ドメイン環境において cmd>net user /domain username と入力すると、該当ユーザーの基本的な情報が表示されます。
その中に「最終パスワード変更日時」というものがあるのですが、コマンドを入力したタイミングの時刻が常に表示されるユーザーが存在していることがあります。

原因は？

ADユーザーの属性値 pwsLastSet=0 となっている場合、本事象が発生するようです。
pwsLastSet=0 になるようなシチュエーションはMSのDocsに記載がありました。

• アカウントが作成されているものの、パスワードが割り当てられていない場合。
• アカウントが作成され、管理者がパスワードを割り当てたものの、次回のログオン時にパスワードを変更するオプションを選択した場合。
• パスワードのリセット後などに、管理者によるユーザー アカウントの管理の一環として、次回のログオン時にユーザーがパスワードを変更するオプションが選択された場合。

新規ユーザーの作成フローやパスワードリセットなどの運用によってタイミングは異なると思いますが、一番多いのが「次回のログオン時にユーザーがパスワードを変更するオプション」にチェックを入れることだと思います。

該当のユーザーアカウントを検索する場合はPowerShellで一気に引っ張ってきましょう。
Get-ADuser -Properties * -Filster{pwdLastset -eq "0" -and Enabled -eq "True"}
`