Локальный администратор отметил «необходимо изменить пароль», когда пользователь домена присоединяется к azureAD с помощью OOBE

Привет всем, заранее спасибо и извините, если мой вопрос неправильно структурирован, я впервые спрашиваю, а не просто прячусь:

• У меня есть гибридная локальная среда/среда AzureAd, использующая dirsync.
• Ноутбуки создаются с учетной записью локального администратора, для psswd которой задано значение «бесконечный срок действия».
• Пользователи проходят OOBE и присоединяются к azureAD

После этого учетная запись «Администратор» отключена — поведение Windows10 по умолчанию, ОК.

ЭТО МОЯ ПРОБЛЕМА. Дополнительный локальный администратор устанавливает флаг «пользователь должен сменить пароль при следующем входе в систему».

Если вы входите в режим аудита до OOBE или завершаете OOBE с локальной «автономной» учетной записью, этого НЕ происходит.

Я не могу на всю жизнь найти, где в политике домена это происходит.

Я не вижу ничего полезного в Rsop/GpResult...

Это стандартное и ожидаемое поведение. Вам следует избегать того, чтобы локальные администраторы были записаны в образ или снабжены постоянным статическим паролем.

Поскольку вы находитесь в гибридном режиме и в соответствии с рекомендациями, рассмотрите возможность реализации LAPS (https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-guide-how-to-configure-microsoft-local/ba-p/2806185) в вашем локальном каталоге Windows Server Active Directory, который может регулярно обновлять и поддерживать пароли локального администратора для вашего локального каталога Windows Server Active Directory.