Назад | Перейти на главную страницу

Можно ли ограничить количество сбросов пароля учетной записи пользователя в день в Active Directory?

Среда домена Windows здесь. Мы планируем внедрить систему самообслуживания для сброса пароля (с использованием Citrix Single Sign-on), и я пытаюсь выяснить, можем ли мы ограничить количество сбросов пароля, которое пользователь может инициировать, до двух в день.

Я не уверен, что это можно сделать с помощью Citrix Single Sign-on (поправьте меня, если я ошибаюсь), но можно ли ограничить это политикой паролей AD, без запретить администраторам сбросить пароль при звонке пользователя?

Путь привилегий, используемый системой сброса пароля, идентичен тому, что происходит, когда администратор сбрасывает пароль; учетной записи службы, которую использует программное обеспечение самообслуживания, будут назначены те же права.

Это простая привилегия для учетной записи пользователя, которая отменяет ограничения скорости смены пароля в политике паролей, а также другие аспекты, такие как ограничения истории паролей.

Итак, нет, ограничение на количество перезапусков в день, к сожалению, должно быть реализовано и обеспечено в инструменте самообслуживания.

Вы можете обнаружить, что установка минимального возраста пароля близка; к сожалению, по памяти требуется целое число как количество дней, в течение которых пароль должен быть действителен, то есть 1 - это минимум.

Это не должно препятствовать сбросу пароля, управляемому администратором, но предотвратит повторный сброс пароля пользователями после сброса администратора (по крайней мере, так говорится в документации для MinPasswordAge)