Реализация новой политики паролей без блокировки пользователей

Фон: у нас была очень смягченная политика паролей AD в течение многих лет. У пользователей был установлен "пароль никогда не истекает", и мы не применяли силу или что-то еще. Теперь мы хотим исправить это и включить требования к надежным паролям в AD, а также установить срок действия паролей через 180 дней.

Заметка о важности, наша система электронной почты Zimbra, которая аутентифицируется в AD через LDAP

Проблема: я не могу найти способ заставить пользователей изменить свой пароль, но разрешить им продолжать использовать свой текущий пароль в течение недели или двух, пока все они не смогут войти в систему на компьютере домена. Все, что я пытаюсь сделать, приводит к блокировке пользователей, как только я это делаю. Скажем, менеджер на этой неделе на конференции и не вернется до следующей недели. Он перестает получать электронную почту на свой телефон, как только я пытаюсь применить политику, пока он не вернется в офис и не войдет снова

Решения попытались:

  1. Отключить пароль никогда не истекает, включите "пользователь должен изменить пароль при следующем входе в систему". Результатом является текущий пароль, который считается просроченным, и AD отказывается авторизовать пользователя через ldap (для этого пользователя нет электронной почты)

  2. Попробуйте обмануть его, отключив "пароль никогда не истекает", установив pwdLastSet в значение -1, которое меняет их последний пароль сегодня, затем настройку "пользователь должен сменить пароль при следующем входе в систему". Результат: pwdLastSet имеет значение 0 [никогда], пароль считается просроченным и не будет аутентифицировать пользователей.

Есть ли способ сделать то, что я пытаюсь сделать?

4 ответа

Каковы ваши функциональные уровни домена и леса? Подробная политика паролей звучит так, будто они могут быть вашими друзьями здесь.

Вы можете использовать их, чтобы исключить пользователей, которых нужно исключить, из-за того, что политики паролей вступают в действие до тех пор, пока вы не будете готовы, и / или не настройте сценарии PowerShell для [эффективного] применения этих политик к пользователям по расписанию.

Я отправлял бы электронное письмо пользователям, которые не изменили свой пароль в пределах порога, и велел бы им изменить свой пароль к определенной дате, после чего Пароль никогда не истекает, будет отключен. Когда эта дата наступит, удалите Пароль, Никогда Не Истекающий для пользователей, которые изменили свой пароль. Повторите до конца.

Как насчет простого сообщения об изменении политики с помощью приличного уведомления по электронной почте, определяющего разумный льготный период? Уведомить пару раз, в том числе в последний день льготного периода. Вы должны быть в состоянии подобрать большинство людей, основываясь на этом

Если вы должны применить его после истечения льготного периода, запустите одноразовый скрипт для всех пользователей, у которых есть дата "последнего пароля" перед первым уведомлением, либо отключите их, либо установите флажок "пользователь должен измениться при следующем входе в систему",

В противном случае, вы можете не просто обновить все поля "пароль никогда не истекает", не проверив "необходимо изменить при следующем входе в систему", а использовать трюк pwdLastSet = -1 для сброса даты в начале льготного периода?

Насколько я понимаю, вы ищете способ создать временное окно, которое заставляло бы подключаться к компьютеру только пользователей, но не телефон.
Я не думаю, что это возможно, но у меня есть несколько мыслей:

  1. Создайте несколько объектов Password-Policy-Object (PSO) и примените их к различным пользователям в соответствии с их потребностями.
  2. Во всех PSO установите уведомление так, чтобы пользователи получали достаточно раннее предупреждение об истечении срока действия пароля (возможно, даже отправили электронное письмо), чтобы они не забыли поменять их, находясь в офисе.

Создание PSO возможно только на уровне домена 2008, поэтому, если это не уровень домена, просто выполните эти настройки в основной политике (в объекте групповой политики).

Как создать PSO:
http://technet.microsoft.com/en-us/library/cc754461.aspx
http://kpytko.pl/active-directory-domain-services/fine-grained-password-policy-in-windows-server-20082008r2/

Другие вопросы по тегам