Задний план: в течение многих лет у нас была очень мягкая политика паролей AD. У пользователей был установлен параметр «пароль никогда не истекает», и мы не применяли силу или что-то еще. Теперь мы хотим исправить это и включили требования к надежному паролю в AD и установили срок действия паролей через 180 дней.
Важное примечание: наша система электронной почты - Zimbra, которая аутентифицируется в AD через LDAP.
Проблема: Я не могу придумать способ заставить пользователей изменить свой пароль, но позвольте им продолжать использовать свой текущий пароль в течение недели или двух, пока они все не смогут войти на компьютер домена. Все, что я пробую, блокирует пользователей, как только я это делаю. Скажем, менеджер на этой неделе на конференции и не вернется до следующей. Он перестает получать электронную почту на свой телефон, как только я пытаюсь реализовать политику, пока он не вернется в офис и снова не войдет в систему.
Попытки решения:
Отключить пароль никогда не истекает, включите «пользователь должен сменить пароль при следующем входе в систему». В результате текущий пароль считается просроченным, и AD отказывается авторизовать пользователя через ldap (для этого пользователя нет электронной почты).
Попробуйте обмануть его, отключив «пароль никогда не истекает», установив для pwdLastSet значение -1, что заставит их последний пароль сменить сегодня, а затем установив «пользователь должен изменить пароль при следующем входе в систему». Результат: значение pwdLastSet снова равно 0 [никогда], а пароль считается просроченным и не аутентифицирует пользователей.
Есть ли способ добиться того, что я пытаюсь сделать?
Каковы функциональные уровни вашего домена и леса? Подробные политики паролей звучат так, будто они могут быть здесь вашим другом.
Вы можете использовать их, чтобы исключить пользователей, которых вам нужно исключить из политики паролей, пока вы не будете готовы, и / или настроить сценарии PowerShell для [эффективного] применения этих политик к пользователям по расписанию.
Как насчет того, чтобы просто сообщить об изменении политики с помощью приличного уведомления по электронной почте с указанием разумного льготного периода? Уведомить пару раз, в том числе в последний день льготного периода. Вы должны быть в состоянии забрать большинство людей, основываясь на этом
Если вы должны применить его, по истечении льготного периода запустите одноразовый сценарий для всех пользователей, у которых есть дата последней установки пароля. перед первое уведомление, чтобы отключить их или принудительно установить флаг «пользователь должен сменить при следующем входе в систему».
В противном случае, не могли бы вы просто обновить все поля "пароль никогда не истекает"? без отметьте "необходимо изменить при следующем входе в систему" и используйте pwdLastSet = -1 уловка для сброса даты в начале льготного периода?
Я бы отправил электронное письмо пользователям, которые не изменили свой пароль в пределах порогового значения, и посоветовал бы им сменить свой пароль до указанной даты, после чего срок действия пароля никогда не истекает. Когда наступит эта дата, удалите Password Never Expires для пользователей, которые изменили свой пароль. Повторяйте, пока не закончите.
Насколько я понимаю, вы ищете способ создать временное окно, которое заставляло бы только пользователей заходить на компьютер, но не на телефон.
Не думаю, что это возможно, но у меня есть несколько мыслей:
Создание PSO возможно только на уровне домена 2008, поэтому, если это не ваш уровень домена, просто задайте эти параметры в основной политике (в GPO).
Как создать PSO:
http://technet.microsoft.com/en-us/library/cc754461.aspx
http://kpytko.pl/active-directory-domain-services/fine-grained-password-policy-in-windows-server-20082008r2/