У нас есть политика паролей с максимальным сроком действия пароля 180 дней. По разным причинам нам нужно изменить его на 90 дней с минимальными последствиями для пользователей.
Обычно наших пользователей предупреждают о предстоящей смене пароля несколько раз. Если бы мы изменили GPO сегодня, те, кто изменил свой пароль более 90 дней назад, столкнулись бы с немедленным запросом на смену пароля, что привело бы к проблемам. Очевидным решением было бы отправить им предупреждения о том, что срок действия пароля изменится в такой-то день, поэтому их просят изменить свой до этого дня, чтобы сбросить счетчик и не повлиять на него. История и научные исследования показали, что такие предупреждения читаются, понимаются и принимаются во внимание в 0,37% случаев.
Другой возможностью было бы применить эту новую политику для каждого пользователя только после следующего изменения пароля (добровольного или принудительного по истечении срока действия). Если бы это было введено сегодня, эффективное покрытие вступило бы в силу максимум через 179 или 180 дней (для тех, кто сменил бы свой пароль прямо перед изменением политики). Достаточно хорошо.
Есть ли подходящие условия для такого изменения политики?
Встроенного такого нет. Что вы можете сделать:
Это позаботится обо всех пользователях, которые изменили свой пароль в течение последних 76 дней (допускает 14-дневный период предупреждения):
Об остальных пользователях позаботятся:
После того, как вы завершили цикл (не должен занимать больше 24 дней при правильном выполнении, например, 14-дневный льготный период и 10-дневный «перерыв»), вы можете установить 90-дневную политику по умолчанию и удалить группы / детализированные политики. .
Таким образом, вы даете пользователям не менее 14 дней на то, чтобы сменить пароль, используя "обычные" методы и предупреждения Windows, а также другие пользователи уже применили правильную политику.
Примечание. Для работы детализированных политик требуется, чтобы версия AD была 2008+. Видеть эта статья TechNet для подробностей