Я новичок в игре по администрированию сервера. Я собираюсь выдвинуть свою первую групповую политику в отношении паролей.
Я собираюсь сделать что-нибудь простое. Используйте встроенные требования MS к сложности и максимальный возраст 6 месяцев или около того.
Быстрый фон. Я первый человек в ИТ-отделе этой компании. Я пытаюсь все выяснить и уладить. Похоже, что примерно половина пользователей (около 150) установили флажок «Срок действия пароля не истекает» в свойствах пользователя активного каталога.
Если я использую групповую политику для паролей, будет ли GP заменять настройки свойств пользователя AD?
Если не. Могу ли я просто пройти через AD и снять галочку с того, что для всех учетных записей я хочу, чтобы меня принудительно меняли пароли?
Заранее спасибо. Дайте мне знать, если вам нужна дополнительная информация!
Включение «Срок действия пароля никогда не истекает» отменяет любую политику истечения срока действия пароля, настроенную в групповой политике.
Но вы можете настроить этот параметр намного быстрее, не используя dsa.msc
. Чтобы вывести список всех учетных записей пользователей с установленным параметром «Пароль никогда не истекает»:
dsquery * -filter "(&(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=65536))" -limit 0
Чтобы отключить настройку для этих пользователей:
dsquery * -filter "(&(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=65536))" -limit 0 | dsmod user -pwdneverexpires no
Если в AD установлен параметр «Срок действия пароля не истекает», ваша групповая политика не заставит их менять свои пароли. Однако все остальное в GP будет применяться к учетным записям.
Вместо того, чтобы снимать отметку для всех учетных записей, вы можете выполнить массовое редактирование свойств, выбрав нескольких пользователей (или всех пользователей) в подразделении и отредактировав свойство один раз, чтобы указать, что срок действия паролей действительно истекает.