背景:多年来,我们的 AD 密码策略一直非常宽松。用户设置了“密码永不过期”,而我们并没有强制要求密码强度或其他任何内容。现在,我们想纠正这个问题,并在 AD 中启用了强密码要求,并将密码设置为 180 天后过期。
需要注意的是,我们的电子邮件系统是 Zimbra,它通过 LDAP 向 AD 进行身份验证
问题:我无法想出一种方法来强制用户更改密码,但让他们继续使用当前密码一两周,直到他们都可以登录域计算机。我尝试的任何方法都会在执行后立即锁定用户。假设一位经理本周参加会议,下周才回来。当我尝试实施该策略时,他的手机将无法收到电子邮件,直到他回到办公室并再次登录
尝试的解决方案:
关闭密码永不过期,打开“用户下次登录时必须更改密码”。结果是当前密码被视为已过期,并且 AD 拒绝通过 ldap 对用户进行身份验证(该用户没有电子邮件)
尝试通过关闭“密码永不过期”来欺骗它,将 pwdLastSet 设置为 -1,使其最后一次密码更改时间是今天,然后设置“用户必须在下次登录时更改密码”。结果:pwdLastSet 被重新设置为 0 [永不],密码被视为已过期,不会对用户进行身份验证
有什么方法可以完成我想做的事情吗?
答案1
您的域和林功能级别是什么? 细粒度的密码策略听起来像是你的朋友。
您可以使用它们来排除您需要排除的用户,直到您准备好为止,让密码策略启动,和/或设置 PowerShell 脚本以按计划[有效地]将这些策略应用于用户。
答案2
用一封像样的通知邮件来传达政策变化,并定义一个合理的宽限期,怎么样?通知几次,包括在宽限期的最后一天。根据这一点,你应该能够吸引大多数人
如果必须强制执行,则在宽限期过后,针对具有“上次设置密码”日期的所有用户运行一次性脚本前第一个通知,要么禁用它们,要么强制“用户必须在下次登录时更改”标志。
否则,你不能只更新所有“密码永不过期”字段没有勾选“下次登录时必须更改”,然后使用密码最后设置 = -1有什么技巧可以重置宽限期开始时的日期?
答案3
我会向未在规定时间内更改密码的用户发送一封电子邮件,告诉他们在指定日期之前更改密码,此后“密码永不过期”功能将关闭。到达该日期后,将为已更改密码的用户删除“密码永不过期”功能。重复此操作,直到完成。
答案4
据我了解,您正在寻找一种方法来创建一个时间窗口,该窗口将强制仅用户登录到计算机,而不登录到手机。
我认为这是不可能的,但我有几个想法:
- 创建多个密码策略对象(PSO)并根据不同用户的需求将其应用于不同的用户。
- 在所有 PSO 中设置通知,以便用户能够及时收到有关密码过期的警告(甚至可能发送电子邮件),这样他们就会记得在办公室时更改密码。
仅可在域级别 2008 中创建 PSO,因此如果这不是您的域级别,只需在主策略(在 GPO 中)中执行这些设置。
如何创建 PSO:
http://technet.microsoft.com/en-us/library/cc754461.aspx
http://kpytko.pl/active-directory-domain-services/fine-grained-password-policy-in-windows-server-20082008r2/