Active Directory 新密碼策略 - 我應該等待嗎？

我將在我們的域上實施新的密碼策略。

我遇到的主要問題是我應該等待使用者更改目前密碼的最長時間，還是強制執行：下次登錄時更改？

我有很多使用者，要一個一個設置更改可能需要半天時間。但要等待最長時間，可能需要 91 天（按設置）。

我想將最大時間設置為 5 天（例如），並在第 4 天再次將其更改為我想要的 91，但我不確定如何知道是否所有使用者在那段時間都更改了密碼。

想法？

您是否已將新密碼策略傳達給您的使用者？

如果您確定每個人都知道會有新策略並且他們將不得不更改密碼，那麼在下次登錄時強制更改應該沒有問題。

但是，如果您沒有給您的使用者足夠的通知，那麼當他們在下次登錄時被迫更改密碼時，他們中的許多人會措手不及，並且您將經常處理以下情況：

1. 使用者登錄並看到他們必須更改密碼。
2. 使用者不太關心密碼策略，但非常想檢查他們的電子郵件，因此基本上隨機選擇一個新密碼。
3. 使用者很快忘記了這個新密碼，無法再登錄，並請求您幫助重置。

至於知道使用者是否更改了他/她的密碼，Active Directory為每個使用者儲存了一個pwdLastSet屬性：

上次更改此帳戶密碼的日期和時間。此值儲存為一個大整數，表示自 1601 年 1 月 1 日 (UTC) 以來的 100 納秒間隔數。如果此值設置為 0 並且 User-Account-Control 屬性不包含 UF_DONT_EXPIRE_PASSWD 標誌，則使用者必須在下次登錄時設置密碼。

您可以對 Active Directory 執行查詢以查找pwdLastSet幾天前的使用者，然後僅強制這些使用者重置其密碼。

最後，要同時為多個使用者設置“下次登錄時必須更改密碼”標誌，您可以使用dsmod：

dsmod user <user_dn> -mustchpwd {yes|no}

為每個很久以前的使用者創建一個帶有dsmod命令的批處理文件，瞧！pwdLastSet你有你的密碼策略執行機制。

引用自：https://serverfault.com/questions/288743