У меня есть домен функционального уровня 2008 R2, и я занимаюсь реализацией первой реальной политики паролей, которую собирается использовать моя организация.
Чтобы постепенно внедрить это для наших пользователей, мы решили использовать детальную политику паролей (FGPP), которая будет применяться только к определенным пользователям по нашему выбору. Для этого мы назначаем эту политику группе, используя ее как теневую группу. Мы уже прошли процесс создания объекта PSO и подтвердили, что новая политика применяется только к пользователям внутри этой группы. Как только мы почувствуем себя комфортно, мы удалим этот PSO и переместим политику паролей в политику домена по умолчанию. К счастью, мне удалось использовать только одну политику для всех пользователей.
Из примерно 5000 настольных компьютеров у нас, вероятно, все еще более 75% Windows XP. В ходе нашего тестирования мы обнаружили, что если этот FGPP применяется к пользователю в этой новой группе, и он вынужден изменить свой пароль при входе в ПК с Windows 7, он отлично работает. Однако при входе в компьютер с Windows XP он по-прежнему заставляет их изменить свой пароль, но в качестве сообщения об ошибке используется политика в политике домена по умолчанию. Если бы мы начали развертывание этого, пользователи были бы сбиты с толку, когда они попробовали пароль и получили бы сообщение об ошибке, предлагающее попробовать другой, когда это не фактические требования.
Как указано в этом Статья Technet, в нем говорится, что это известное поведение, и рекомендуется игнорировать его. Для нас это невозможно. Мы не можем использовать FGPP, если это работает на ПК с Windows XP.
Мы думали об установке атрибута «пароль никогда не истекает» для всех пользователей, а затем о реализации политики паролей на уровне политики домена по умолчанию, но мы бы предпочли не делать этого из-за возможного массового хаоса, если что-то пойдет не так.
Кто-нибудь сталкивался с этим раньше или может предложить какие-либо предложения? Это сообщение об ошибке где-то в GINA? Можно ли его вообще модифицировать?
Это задумано и заложено в код. В Windows XP вы получите сообщение об ошибке пароля по умолчанию, в котором описаны параметры пароля, которые вы можете настроить с помощью политики домена по умолчанию.
Начиная с Vista, вы получаете сообщение «Невозможно обновить пароль. Значение, указанное для нового пароля, не соответствует требованиям домена к длине, сложности или истории». Microsoft сделала его более общим, чтобы охватить все возможные варианты FGPP. Они никогда не возвращались и не меняли код в Windows XP. Следовательно, почему вы видите сообщение Политика паролей по умолчанию Политика домена.
Если вы действительно хотите его изменить, вам придется создать настраиваемого поставщика пользовательского интерфейса для входа в систему. Однако, поскольку поддержка Windows XP ограничена менее чем годом, вам может быть лучше просто обучить персонал решению этой проблемы. Или потратьте время на обновление остальных клиентов XP.