У меня вопрос о разрешении активного каталога на смену пароля. Можно ли отозвать разрешение на изменение пароля для пользователей из определенного OU?
Как я могу выполнить эту задачу? Я знаю, что это можно сделать для определенной группы пользователей, но возможно ли это для пользователей в определенном OU?
ОБНОВИТЬ
Спасибо за все ваши ответы. Они были действительно полезны. К сожалению, я не могу проголосовать за эти ответы из-за моей низкой репутации;)
95% процентов пользователей находятся в OU, о котором я пишу. Я думаю об удалении разрешения на изменение пароля из группы «Все» и создании группы для пользователей, которые смогут изменять свои пароли. Проблема в том, что пользователи из этого подразделения находятся в другом приложении, и они должны изменить свой пароль с помощью этого приложения, а не в AD. Пользователи, не входящие в эту OU, находятся только в AD, поэтому они могут изменять свои пароли в AD.
Как вы думаете, это будет хорошее решение или с ним будут проблемы?
Спасибо за помощь.
Ответы Джона Ренни и Сэма Когана (как так метко заявляет Джон) являются «взломами», поскольку они пытаются отключить пользовательский интерфейс для изменения паролей, но фактически не лишают пользователя возможности изменить свой пароль.
Я думаю, вы ищете изменения разрешений, которые Active Directory устанавливает по умолчанию в подразделении, в котором расположены учетные записи пользователей. Я собираюсь предостеречь вас от этого. Поскольку Microsoft уже предоставляет эту функциональность через атрибут в объектах учетной записи пользователя, действительно лучше использовать этот уже предоставленный атрибут, чем изменять разрешения AD. Вполне вероятно, что вы сможете найти работающее разрешение, и так же вероятно, что ОС не будет отображать полезные сообщения.
Вам действительно следует просто использовать всех затронутых пользователей, использующих Active Directory - пользователи и компьютеры, и массово изменять свойства учетных записей пользователей. Ответ Dart функционально такой же, как при выборе всех учетных записей пользователей и графической установке их «Пользователь не может изменить пароль». Если вам больше нравится командная строка, сделайте это.
Для этого есть функция «Расширенное право» с использованием разрешений Active Directory в Windows 2003. Я не нахожу хорошей документации по этой функции. Вот некоторая предыстория «расширенных прав», связанных с изменением паролей, первая из которых относится к «Режиму приложения» Active Directory (или как там Microsoft называет это на этой неделе):
Я попытался проверить ответ Массимо, разместив разрешение «SELF - Deny - User Objects - Extended Right: Change Password» на OU в моем тестовом W2K3 Active Directory (функциональный уровень домена Windows 2003) и обнаружил, что объекты пользователя находятся на уровне или ниже этого Подразделения по-прежнему могли изменять свои пароли с помощью функции изменения пароля графического интерфейса. Глядя на каждый пользовательский объект, я мог видеть унаследованное разрешение «Запретить», но Active Directory игнорировала его.
Простое удаление разрешения «SELF - Allow - Change Password» для пользовательского объекта дало мне те же функции, что и в предыдущем тесте. Пользователю все еще было разрешено изменить свой пароль.
Я бы сказал, исходя из этого, что ответ Массимо тоже не дает того, что вы хотите.
я нашел Эта статья от Microsoft и протестировал его. Когда я нацеливаю сценарий на отдельный пользовательский объект, он ведет себя так, как нужно, и пользователь не может изменить свой пароль. Однако это не сильно поможет вам, поскольку вы хотите установить это для каждого подразделения.
Однако когда я нацеливаю этот сценарий от Microsoft на подразделение, поведение на более длительное время соответствует ожиданиям. (Кроме того, если я изменяю ACE, добавленные к OU, чтобы применить к «Этот объект и дочерние объекты» вместо «Только этот объект», как это предусмотрено сценарием, поведение по-прежнему не так, как ожидалось.)
Я действительно бьюсь головой о стену на этом. Это похоже на причуду поведения Active Directory, которая плохо документирована. Я прошел через «Доменные службы Active Directory» и Схема Active Directory документации, и я не нахожу документации, описывающей это поведение.
Видеть http://support.microsoft.com/kb/324744
Однако обратите внимание, что это своего рода взлом. Это не мешает пользователям менять свои пароли, а просто удаляет возможность сделать это в диалоговом окне ctrl-alt-del. Пользователи по-прежнему могут использовать сменщик паролей командной строки.
JR
Используйте dsmod. Чтобы узнать, как это сделать для OU, см. http://windowsitpro.com/article/articleid/80359/jsi-tip-7785-how-do-i-modify-active-directory-attributes-for-all-members-of-an-organizational-unit-in- мой-домен.html
Да, вы можете сделать это с помощью групповой политики. Откройте редактор групповой политики для OU, которое вы хотите ограничить (щелкните правой кнопкой мыши OU, свойства, вкладку групповой политики). Создайте новую политику или отредактируйте существующую и перейдите по ссылке:
User Configuration -> Administrative Templates -> System
Здесь выберите Ctrl + Alt + Del Options, на правой панели включите опцию «Remove Change Password».
Закройте редактор групповой политики. Чтобы убедиться, что он применяется, немедленно откройте командную строку и запустите
gpupdate /target:user /force
Вы можете отозвать разрешение на это для определенного пользователя, удалив (или явно запретив) «изменить пароль» из прав пользователя, назначенных «SELF».
Вы должны вручную отредактировать ACL для самого объекта пользователя; вы можете получить к нему доступ, включив расширенные функции в консоли «Пользователи и компьютеры Active Directory» («Вид» -> «Дополнительные функции»), а затем открыв свойства пользователя и выбрав «Безопасность».