密码策略与密码永不过期问题

密码策略与密码永不过期问题

我是服务器管理新手。我即将推出我的第一条有关密码的组策略。

我要做一些简单的事情。使用 MS 内置的复杂性要求和 6 个月左右的最大年龄。

简要介绍一下背景。我是这家公司 IT 部门的第一位员工。我正在努力弄清楚并解决所有问题。似乎有一半左右的用户(约 150 名)在 Active Directory 用户属性中选中了“密码永不过期”。

如果我对密码使用组策略,GP 是否会取代 AD 用户属性设置?

如果没有的话。我是否只需通过 AD 并取消选中所有我想强制更改密码的帐户?

提前致谢。如果您需要更多信息,请告诉我!

答案1

启用“密码永不过期”将覆盖您在组策略中配置的任何密码过期策略。

但是您可以更快地配置此设置,而无需使用dsa.msc。要列出所有设置了“密码永不过期”的用户帐户:

dsquery *  -filter "(&(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=65536))" -limit 0

要为这些用户禁用该设置:

dsquery *  -filter "(&(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=65536))" -limit 0 | dsmod user -pwdneverexpires no

答案2

如果在 AD 中设置了“密码永不过期”,您的组策略将不会强制他们更改密码。不过,GP 中的其他所有内容都将适用于这些帐户。

您不需要取消选中每个人的帐户,而是可以通过选择 OU 中的多个用户(或所有用户)并编辑一次属性来批量编辑属性,以表明密码确实会过期。

相关内容