Мы собираемся внедрить новую политику паролей, которая потребует от пользователей смены пароля каждые шесть месяцев. Также нам нужно, чтобы каждый пользователь сменил свой пароль. этот неделя. Я бы предпочел не устраивать раз в два года безумную смену паролей и предпочел бы либо рандомизировать, либо чередовать дату истечения срока действия пароля.
Я получаю сообщение об ошибке при попытке изменить свойство pwdLastSet в редакторе ADSI. Похоже, свойство доступно только для чтения. Если я могу написать в него, я не уверен, что изменение свойства pwdLastSet напрямую будет иметь какие-либо негативные последствия.
Я рассматривал возможность реализации нескольких политик паролей, но, судя по тому, что я прочитал, несколько политик паролей не поддерживаются в DFL 2003, что потребовало бы обновления (хотя это может послужить полуприличным предлогом для окончательного обновления).
Как я могу избежать смены пароля в масштабе всей компании каждые шесть месяцев, когда все пользователи требуют немедленной смены пароля?
в верхней части моей головы выберите случайный набор пользователей по истечении любого периода времени, в течение которого вы хотите, чтобы их существующий пароль истек, а затем снова истекал их пароли:
$users = get-aduser -filter * | get-random -count <my number of users>
foreach ($user in $users) {Set-ADUser $user -ChangePasswordAtLogon $true}
Очевидно, что для этого примера вам понадобится PowerShell, но то же самое можно сделать на любом языке сценариев.
Для этого есть несколько способов. У меня не было хорошего опыта, пытаясь рандомизировать это программно - попытки записать что-либо, кроме 0 или -1 в атрибут pwdLastSet, у меня не сработали.
Я бы предпочел применить вашу новую политику паролей, а затем еженедельно истекать срок действия паролей группы пользователей, чтобы распределить нагрузку.
Ты можешь использовать изменить для сброса даты последнего изменения. Я бы взял группу (на самом деле я импортировал список имен пользователей из файла TXT) и потребовал бы от них изменить свой пароль при следующем входе в систему.
Я вел электронную таблицу, чтобы знать, у каких пользователей еще должен истек срок действия.
Два недостатка этого подхода - вам нужно запустить этот сценарий несколько раз, и пользователи не смогут использовать свой первый сложный пароль в течение шести месяцев.