Среда домена Windows здесь. Мы планируем внедрить систему самообслуживания для сброса пароля (с использованием Citrix Single Sign-on), и я пытаюсь выяснить, можем ли мы ограничить количество сбросов пароля, которое пользователь может инициировать, до двух в день.
Я не уверен, что это можно сделать с помощью Citrix Single Sign-on (поправьте меня, если я ошибаюсь), но можно ли ограничить это политикой паролей AD, без запретить администраторам сбросить пароль при звонке пользователя?
Путь привилегий, используемый системой сброса пароля, идентичен тому, что происходит, когда администратор сбрасывает пароль; учетной записи службы, которую использует программное обеспечение самообслуживания, будут назначены те же права.
Это простая привилегия для учетной записи пользователя, которая отменяет ограничения скорости смены пароля в политике паролей, а также другие аспекты, такие как ограничения истории паролей.
Итак, нет, ограничение на количество перезапусков в день, к сожалению, должно быть реализовано и обеспечено в инструменте самообслуживания.
Вы можете обнаружить, что установка минимального возраста пароля близка; к сожалению, по памяти требуется целое число как количество дней, в течение которых пароль должен быть действителен, то есть 1 - это минимум.
Это не должно препятствовать сбросу пароля, управляемому администратором, но предотвратит повторный сброс пароля пользователями после сброса администратора (по крайней мере, так говорится в документации для MinPasswordAge)