我如何实施细粒度的密码策略并期望 XP 机器运行良好?

我如何实施细粒度的密码策略并期望 XP 机器运行良好?

我有一个 2008 R2 功能级别域,并且正在实施我的组织将要使用的第一个实际密码策略。

为了慢慢地将这项功能推广到我们的用户,我们选择使用细粒度密码策略 (FGPP),只应用于我们选择的特定用户。为此,我们将此策略分配给一个组,将其用作影子组。我们已经完成了创建 PSO 对象和确认新策略仅适用于该组内用户的过程。一旦我们感到满意,我们将删除此 PSO 并将密码策略移至默认域策略。幸运的是,我能够对所有用户仅使用一个策略。

在 5,000 台左右的台式机中,Windows XP 可能仍占 75% 以上。在测试中,我们发现如果此 FGPP 适用于此新组中的用户,并且他们在登录 Windows 7 PC 时被迫更改密码,则效果很好。但是,当登录 Windows XP PC 时,它仍会强制他们更改密码,但错误消息会使用默认域策略中的策略。如果我们开始推广这项功能,用户在尝试密码时会感到困惑,并收到一条错误消息,告诉他们尝试另一个密码,但这并不是实际要求。

正如本文所述Technet 文章,它表示这是一种已知行为并建议忽略它。这对我们来说是不可能的。如果这种情况出现在 Windows XP PC 上,我们就无法使用 FGPP。

我们曾考虑为所有用户设置“密码永不过期”属性,然后在默认域策略级别实施密码策略,但我们不想这样做,因为如果出现问题可能会造成大规模混乱。

有人遇到过这种情况吗?或者可以提供任何建议吗?这个错误消息在 GINA 的某个地方吗?它可以修改吗?

答案1

这是设计使然,也是代码所致。在 Windows XP 中,您会收到默认密码错误消息,该消息涵盖了您可以使用默认域策略配置的密码设置。

从 Vista 开始,您现在会收到“无法更新密码。提供的新密码值不符合域的长度、复杂性或历史要求。” Microsoft 使其更加通用,以涵盖所有不同的 FGPP 选项。他们从未回头更改 Windows XP 中的代码。因此您会看到密码策略默认域策略消息。

如果您确实想更改它,则必须创建自定义登录 UI 提供程序。但是,由于 Windows XP 的支持期限不到一年,您可能最好只是培训员工了解该问题。或者花时间升级其余的 XP 客户端。

相关内容