我无法在不给很多人带来麻烦的情况下进行测试。我想为数百名 Active Directory 用户启用密码过期组策略,但又不想让每个人都陷入困境。
假设大多数用户距离更改密码已有 100 多天。如果我现在设置组策略,让密码在 100 天后过期,我预计大多数密码将立即被阻止。但我希望今天让一组用户更改密码,下周让另一组用户更改密码,等等。然后,在合规人员更改密码并及时通知所有人后,我可以启用组策略。
AD 的密码过期是否取决于组策略中规则的创建?每个人的触发时间都是同一天吗?还是按照我提到的时间段错开?
答案1
最初不要使用 AD 密码过期来执行此操作。
相反,使用 powershell 或甚至 AD 用户和计算机来标记某一组用户以便在下次登录时更改他们的密码。
如果您使用 AD 用户和计算机,则可以多选用户,然后右键单击并批量设置属性。
如果您使用 powershell,您还可以检查上次更改密码的时间,如果超过一定时间,则标记该帐户以进行密码更改。
一旦每个人都更新了,就像你说的,启用组策略来设置密码过期。
get-aduser在 powershell 中,您将使用和的组合set-aduser来完成此任务。