Как мне реализовать детальную политику паролей и ожидать, что машины с XP будут работать хорошо?

Question

Как мне реализовать детальную политику паролей и ожидать, что машины с XP будут работать хорошо?

У меня есть домен функционального уровня 2008 R2, и я нахожусь в процессе внедрения первой действующей политики паролей, которую собирается использовать моя организация.

Чтобы медленно распространять это на наших пользователей, мы решили использовать детальную политику паролей (FGPP), чтобы применять ее только к определенным пользователям по нашему выбору. Для этого мы назначаем эту политику группе, использующей ее в качестве теневой группы. Мы уже прошли процесс создания объекта PSO, и подтверждение того, что новая политика применяется только к пользователям внутри этой группы. Как только мы почувствуем себя комфортно, мы удалим этот PSO и переместим политику паролей в Политику домена по умолчанию. К счастью, мне удалось использовать только одну политику для всех пользователей.

Из примерно 5000 настольных компьютеров мы, вероятно, по-прежнему более 75% Windows XP. В нашем тестировании мы обнаружили, что если этот FGPP применяется к пользователю в этой новой группе, и он вынужден изменить свой пароль при входе в ПК с Windows 7, это прекрасно работает. Однако при входе в ПК с Windows XP он все равно заставляет их сменить пароль, но в качестве сообщения об ошибке используется политика в Политике домена по умолчанию. Если бы мы начали внедрять это, пользователи были бы озадачены, когда попробовали пароль и получили бы сообщение об ошибке, в котором говорилось бы попробовать другой, если это не соответствует действительности.

Как указано в этой статье Technet, в нем говорится, что это известное поведение, и рекомендуем его игнорировать. Это невозможно для нас. Мы не можем использовать FGPP, если это происходит на ПК с Windows XP.

Мы подумали об установке атрибута "пароль никогда не истекает" для всех пользователей, а затем о реализации политики паролей на уровне политики домена по умолчанию, но мы бы не хотели этого делать из-за возможного массового хаоса, если что-то пойдет не так.

Кто-нибудь когда-нибудь сталкивался с этим раньше или может предложить какие-либо предложения? Это сообщение об ошибке в GINA где-нибудь? Можно ли вообще его изменить?

7

active-directory password-policy

Источник

Adam Bertram 19 апр '13 в 18:58

1 ответ

Решение

Другие вопросы по тегам active-directory password-policy

Brandon Lawson 19 апр '13 в 20:25 2013-04-19 20:25 · Accepted Answer · 2013-04-19 20:25

Это по замыслу и по коду. В Windows XP вы получите сообщение об ошибке пароля по умолчанию, которое охватывает параметры пароля, которые вы можете настроить с помощью Политики домена по умолчанию.

Начиная с Vista, теперь вы получаете сообщение "Невозможно обновить пароль. Значение, предоставленное для нового пароля, не соответствует требованиям длины, сложности или истории домена". Microsoft сделала его более общим, чтобы охватить все возможные варианты FGPP. Они никогда не возвращались и не меняли код в Windows XP. Следовательно, почему вы видите политику паролей по умолчанию.

Если вы хотите изменить его, вам нужно будет создать пользовательский провайдер пользовательского интерфейса для входа. Однако, поскольку срок поддержки Windows XP составляет менее года, вам лучше всего обучить персонал этой проблеме. Или потратьте время на обновление остальных клиентов XP.