我遇到一种情况,我需要限制用户在 Active Directory(Windows Server 2008 Standard)环境中更改密码的权限。我需要检查帐户选项,其中:
- 用户无法更改密码
- 密码永不过期
有没有通过组策略强制执行此策略的最佳方法?
对于用户无法更改密码,我正在考虑通过从组策略(用户配置->管理模板->系统)中禁用 Ctrl + Ald + Del 来实现。
请提出任何想法,这将非常有帮助。
提前谢谢了。
答案1
配置您域的密码策略,将“密码最长使用期限”设置为 0 天(无限制 - 实际上是全局“永不过期”),将“密码最短使用期限”设置为 998 天(最长)。
用户将能够在 2.7 岁之后更改密码 - 如果这是一个问题,那么请在 2014 年 7 月的日历上添加一个待办事项,以手动将其pwdLastSet
属性的日期提前。
答案2
- 您是否要将其应用于所有用户(包括您自己的帐户)?
- 有命令行方式可以更改您自己的密码,阻止 ctrl-alt-del 不会停止这些。
所以真正的问题是:你为什么要限制这些账户?可能有更好的方法。
(这些帐户选项正是您所需要的:为什么不直接设置它们呢?)
根据评论:我认为将组策略应用于用户的 OU 是最简单的方法。确保豁免的用户位于单独的 OU 中。但是密码策略是电脑配置适用于计算机而非用户。因此,我预计除非两组用户从不使用同一台计算机,否则它不会起作用。
将目标用户放入他们自己的 OU 中将允许脚本遍历所有用户并确保选择这两个选项(可以安排此脚本)。有很多用于修改 OU 中所有用户的脚本示例(例如这个)。这留下了初始的用户创建:要么从模板用户创建(通过 AD 工具中的复制),要么也可以编写脚本。
总的来说,这是一项违背所有良好做法的政策(更改密码可确保泄露的密码知识无效),因此您必须做一些额外的工作来逆流而上。