Windows-Server-2003
Active Directory 新密碼策略 - 我應該等待嗎?
我將在我們的域上實施新的密碼策略。
我遇到的主要問題是我應該等待使用者更改目前密碼的最長時間,還是強制執行:下次登錄時更改?
我有很多使用者,要一個一個設置更改可能需要半天時間。但要等待最長時間,可能需要 91 天(按設置)。
我想將最大時間設置為 5 天(例如),並在第 4 天再次將其更改為我想要的 91,但我不確定如何知道是否所有使用者在那段時間都更改了密碼。
想法?
您是否已將新密碼策略傳達給您的使用者?
如果您確定每個人都知道會有新策略並且他們將不得不更改密碼,那麼在下次登錄時強制更改應該沒有問題。
但是,如果您沒有給您的使用者足夠的通知,那麼當他們在下次登錄時被迫更改密碼時,他們中的許多人會措手不及,並且您將經常處理以下情況:
- 使用者登錄並看到他們必須更改密碼。
- 使用者不太關心密碼策略,但非常想檢查他們的電子郵件,因此基本上隨機選擇一個新密碼。
- 使用者很快忘記了這個新密碼,無法再登錄,並請求您幫助重置。
至於知道使用者是否更改了他/她的密碼,Active Directory為每個使用者儲存了一個pwdLastSet屬性:
上次更改此帳戶密碼的日期和時間。此值儲存為一個大整數,表示自 1601 年 1 月 1 日 (UTC) 以來的 100 納秒間隔數。如果此值設置為 0 並且 User-Account-Control 屬性不包含 UF_DONT_EXPIRE_PASSWD 標誌,則使用者必須在下次登錄時設置密碼。
您可以對 Active Directory 執行查詢以查找
pwdLastSet
幾天前的使用者,然後僅強制這些使用者重置其密碼。最後,要同時為多個使用者設置“下次登錄時必須更改密碼”標誌,您可以使用
dsmod
:dsmod user <user_dn> -mustchpwd {yes|no}
為每個很久以前的使用者創建一個帶有
dsmod
命令的批處理文件,瞧!pwdLastSet
你有你的密碼策略執行機制。