Новая политика паролей Active Directory - мне подождать?

Я собираюсь ввести новую политику паролей в нашем домене.

Основная проблема, с которой я сталкиваюсь, заключается в том, должен ли я ждать, пока не пройдет максимальное время, пока пользователь изменит свой текущий пароль, или принудительно: изменить при следующем входе в систему?

У меня много пользователей, и изменение настроек одного за другим может занять полдня. но ожидание максимального времени может занять 91 день (как установлено).

Я решил установить максимальное время на 5 дней (например,), а на 4-й день снова изменить его на 91, который я хочу, но я не уверен, как узнать, все ли пользователи изменили пароль за это время.

Идеи?

Сообщили ли вы своим пользователям о новой политике паролей?

Если вы точно знаете, что все знают, что будет новая политика и что им придется изменить свои пароли, тогда не должно возникнуть проблем с принудительным изменением при следующем входе в систему.

Однако, если вы недостаточно уведомили своих пользователей, то многие из них будут застигнуты врасплох, когда они будут вынуждены изменить свой пароль при следующем входе в систему, и вы будете часто иметь дело со следующим сценарием:

Пользователь входит в систему и видит, что ему необходимо изменить свой пароль.
Пользователь не очень заботится о политике паролей, но очень хочет проверить свою электронную почту, и поэтому выбирает новый пароль по существу случайным образом.
Вскоре после этого пользователь забывает этот новый пароль, больше не может войти в систему и просит вас помочь со сбросом.

Что касается информации о том, изменил ли пользователь свой пароль, Active Directory сохраняет pwdLastSet атрибут для каждого пользователя:

Дата и время последнего изменения пароля для этой учетной записи. Это значение хранится в виде большого целого числа, которое представляет количество интервалов в 100 наносекунд с 1 января 1601 года (UTC). Если это значение установлено на 0 и атрибут User-Account-Control не содержит флаг UF_DONT_EXPIRE_PASSWD, то пользователь должен установить пароль при следующем входе в систему.

Вы можете запустить запрос к Active Directory, чтобы найти пользователей, для которых pwdLastSet было больше, чем пару дней назад, а затем вынудить только этих пользователей сбросить свои пароли.

Наконец, чтобы установить флаг «Необходимо изменить пароль при следующем входе в систему» сразу для нескольких пользователей, вы можете использовать dsmod:

dsmod user <user_dn> -mustchpwd {yes|no}

Создайте командный файл с dsmod команда для каждого пользователя, чей pwdLastSet слишком давно, и вуаля! У вас есть механизм применения политики паролей.

Настройте свою политику. Сообщите об изменении своим пользователям и сообщите им, что в определенный день новая политика вступит в силу. Накануне - напомните им. Затем используйте сценарий, подобный этому Visual Basic, чтобы заставить пользователей изменить пароль при следующем входе в систему.

Set objUser = GetObject _ 
    ("LDAP://CN=myerken,OU=management,DC=Fabrikam,DC=com") 

objUser.Put "pwdLastSet", 0 
objUser.SetInfo

Ссылка

Это крайне субъективно. Возможно, это связано с некоторыми из следующих факторов:

Есть ли событие, которое привело к изменениям?
Как быстро организация обычно может распространять информацию такого рода?
Насколько сильно это изменение может вызвать нарушения при его реализации или невыполнении?
Какая поддержка доступна для поддержки изменения?

Это сочетание организации, причины, по которой необходимо изменение, и того, как быстро об изменении можно сообщить, а также внедрить. Он будет сильно различаться в разных организациях, а также в их конкретных ситуациях.