La politique de mots-de-passe AD ne respecte pas les RFC LDAP, mais Microsoft a implementé sa propore politique. LemonLDAP::NG implémente partiellement cette politique :
Lorsque le paramètre pwdLastSet est positionné à 0 dans l'entrée utilisateur, ça signifie que le mot de passe a été réinitialisé et qu'un formulaire est présenté à l'utilisateur pour qu'il change son mot de passe.
lorsque l'attribut virtuel compilé 'msDS-User-Account-Control-Computed' a le drapeau 6th positionné à 8, le mot de passe est considéré comme expiré. (support depuis la version Windows Server 2003) Il est trop tard pour l'utilisateur pour faire quoi que ce soit. Il doit contacter son administrateur.
un avertissement avant expiration du mot de passe est possible dans AD, mais seuleent dans une GPO (Configuration de l'ordinateur\Paramètres Windows\Politiques locales\Options de sécurité pour le logon interactif: Demander à l'utilisateur de changer son mot de passe avant expiration). Toutefois, ça n'a pas de matérialisation dans le référentiel LDAP. Une variable “délai d'avertissement pour mot de passe avant expiration de celui-ci” peut être indiquée dans LemonLDAP::NG pour le faire.
Note : depuis AD 2012, chaque utilisateur peut disposer d'une politique 'expiration de mot-de-passe différente. Alors, la « durée de vie maximum du mot-de-passe » peut avoir des valeurs différentes. Ce n'est actuellement pas supporté par LemonLDAP::NG car toute politique doit etre calculée avec sa priorité pour connaître l'âge maximum à appliquer.
Pour configurer l'avertissement vant expiration, il faut indiquer deux variables des paramètres Active Directory dans le Manager:
Délai d'avertissement d'expiration du mot-de-passe : nombre de secondes entre la date d'avertissement et l'expiration effective.
Âge macimum du mot-de-passe : nombre de secondes entre le changement de mot-de-passe et son expiration. Ça doit correspondre avec la politique de l'AD