Назад | Перейти на главную страницу

Как я могу выбрать случайный или постепенный срок действия пароля через Active Directory?

Мы собираемся внедрить новую политику паролей, которая потребует от пользователей смены пароля каждые шесть месяцев. Также нам нужно, чтобы каждый пользователь сменил свой пароль. этот неделя. Я бы предпочел не устраивать раз в два года безумную смену паролей и предпочел бы либо рандомизировать, либо чередовать дату истечения срока действия пароля.

Я получаю сообщение об ошибке при попытке изменить свойство pwdLastSet в редакторе ADSI. Похоже, свойство доступно только для чтения. Если я могу написать в него, я не уверен, что изменение свойства pwdLastSet напрямую будет иметь какие-либо негативные последствия.

Я рассматривал возможность реализации нескольких политик паролей, но, судя по тому, что я прочитал, несколько политик паролей не поддерживаются в DFL 2003, что потребовало бы обновления (хотя это может послужить полуприличным предлогом для окончательного обновления).

Как я могу избежать смены пароля в масштабе всей компании каждые шесть месяцев, когда все пользователи требуют немедленной смены пароля?

в верхней части моей головы выберите случайный набор пользователей по истечении любого периода времени, в течение которого вы хотите, чтобы их существующий пароль истек, а затем снова истекал их пароли:

$users = get-aduser -filter * | get-random -count <my number of users>
foreach ($user in $users) {Set-ADUser $user -ChangePasswordAtLogon $true}

Очевидно, что для этого примера вам понадобится PowerShell, но то же самое можно сделать на любом языке сценариев.

Для этого есть несколько способов. У меня не было хорошего опыта, пытаясь рандомизировать это программно - попытки записать что-либо, кроме 0 или -1 в атрибут pwdLastSet, у меня не сработали.

Я бы предпочел применить вашу новую политику паролей, а затем еженедельно истекать срок действия паролей группы пользователей, чтобы распределить нагрузку.

Ты можешь использовать изменить для сброса даты последнего изменения. Я бы взял группу (на самом деле я импортировал список имен пользователей из файла TXT) и потребовал бы от них изменить свой пароль при следующем входе в систему.

Я вел электронную таблицу, чтобы знать, у каких пользователей еще должен истек срок действия.

Два недостатка этого подхода - вам нужно запустить этот сценарий несколько раз, и пользователи не смогут использовать свой первый сложный пароль в течение шести месяцев.