我有几个目录用户帐户,这些帐户不需要每隔几个月更改一次密码。但是,如果用户愿意,他们应该能够更改密码(特别是因为我们以明文形式发送初始密码)。
在 AD 中,有一个选项“密码永不过期”,它应该能实现这个功能,但实际上却不能。选中它会导致不允许更改密码(尽管有一个单独的“用户无法更改密码”复选框)。
除了少数账户外,用户必须更改密码的一般政策不应受到影响。我该如何实现这一点?
答案1
我有几个目录用户帐户,不需要每隔几个月更改一次密码。
确保设置密码永不过期在用户的 AD 对象属性中进行检查。
然而,如果用户愿意的话,他应该能够更改它(特别是因为我们以明文形式发送初始密码)。
确保设置用户无法更改密码是不是检查用户的 AD 对象属性。
除少数账户外,用户必须更改密码的一般政策不应受到影响。
您无法使用组策略等工具为用户组配置这些设置。相反,您必须通过直接编辑目标用户的 AD 用户对象来更改设置。
您可以通过选择 ADUC 管理单元中的所有用户,然后右键单击其中一个选定的用户并选择,同时为多个用户编辑这两个设置。特性。在打开的对话框中所做的更改将影响所有选定的用户。
要编辑无法在 ADUC 中同时选择的多个用户的属性,请考虑使用命令行工具,例如 ADMOD。
对于将来创建的新帐户,请考虑使用模板来创建用户。您可以有一个名为密码过期用户模板另一个叫密码不会过期用户模板。然后在每个模板中适当设置您的选项。
在 ADUC 中使用模板很简单:
- 创建一个虚拟用户帐户作为模板。为从模板创建的用户设置所需的选项。另外,禁用该帐户。
- 要从模板用户创建用户,只需复制模板帐户即可创建新用户。根据需要自定义新用户并启用该帐户。新帐户将具有与模板对象上配置的相同设置。
这是一种确保以统一方式创建新帐户的绝佳方法,即使多个管理员负责向域添加新用户。