我们正在设置 Windows Server 2008 R2 域。当我们在 AD 中创建用户时,我们创建的每个用户的“帐户”选项卡中标有“用户无法更改密码”的复选框都未选中。是否可以更改此设置,以便我们创建的每个用户都默认选中此复选框?
答案1
据我所知,这不能被设置为该工具的默认值。
但是,您可以设置组策略,以便禁止用户在该级别更改密码。
用户配置 -> 策略 -> 管理模板 -> 系统 -> Ctrl+Alt+Del 选项
有一个“删除更改密码”按钮。还有一些其他的按钮,请查找它们。
我们正在做类似的事情。这样做的原因是,由于需要将密码更改同步到多个系统,我们构建了一个非 Microsoft 密码更改程序。如果用户通过本机工具更改其 AD 密码,则他们的密码将不会同步到其他系统,当他们无法进入时,他们会致电帮助台。这也使我们能够在我们的底层系统全部支持之前制定强大的密码质量规则。
答案2
也许另一种方法是创建一个启用“用户无法更改密码”的用户模板帐户,并将其复制给新用户。
答案3
您可以通过代码执行此操作。请查看页面中间位置的以下 MSDN 文章
“以下 C# 示例显示了一个设置 ACE 以拒绝用户更改密码的函数。此示例使用 .NET Framework 2.0 中提供的托管 ACL 功能。”