我们的密码策略规定密码最长使用期限为 180 天。出于各种原因,我们需要将其更改为 90 天,同时尽量减少对用户的影响。
我们的用户通常会在即将更改密码之前多次收到警告。如果我们今天更改 GPO,那些在 90 天前更改密码的用户将面临立即更改密码的请求,这将导致问题。显而易见的解决方案是发送警告,告诉他们密码到期日期将在某天更改,因此要求他们在那天之前更改密码,以重置计数器,不受影响。历史和科学研究表明,在 0.37% 的情况下,此类警告会被阅读、理解和考虑。
另一种可能性是仅在下次更改密码(自愿或因到期而被迫)后才对每个用户强制实施此新政策。如果今天就推出这项政策,那么有效覆盖范围最多将在 179 或 180 天后生效(对于那些在政策修改前更改密码的用户)。足够好了。
是否存在适合这种政策改变的环境?
答案1
没有内置这样的功能。您可以做的是:
这将处理过去 76 天内更改过密码的所有用户(允许 14 天的警告期):
- 创建一个应用 90 天政策的群组
- 查询 AD 以获取过去 76 天内更改过密码的所有用户
- 将他们添加到群组
这将照顾到其余的用户:
- 创建应用更高密码策略的组,例如每个组 10 天?那么 90、100、110、120、130 等等。
- 查询 AD 以获取密码在该时间范围内过期的用户(-14 天)
- 将用户添加到相应组
一旦完成了周期(如果执行正确,则不应超过 24 天,例如 14 天的宽限期和 10 天的“间隙”),您可以将 90 天的策略设置为默认策略并删除组/细粒度策略。
这样,您至少会给用户 14 天的时间使用“正常”的 Windows 方法和警告来更改密码,而且其他用户已经应用了正确的策略
注意:这要求 AD 为 2008 及以上版本才能使细粒度策略生效。请参阅这篇 TechNet 文章了解详情