Windows-Server-2003

Active Directory 新密碼策略 - 我應該等待嗎?

  • July 10, 2011

我將在我們的域上實施新的密碼策略。

我遇到的主要問題是我應該等待使用者更改目前密碼的最長時間,還是強制執行:下次登錄時更改?

我有很多使用者,要一個一個設置更改可能需要半天時間。但要等待最長時間,可能需要 91 天(按設置)。

我想將最大時間設置為 5 天(例如),並在第 4 天再次將其更改為我想要的 91,但我不確定如何知道是否所有使用者在那段時間都更改了密碼。

想法?

您是否已將新密碼策略傳達給您的使用者?

如果您確定每個人都知道會有新策略並且他們將不得不更改密碼,那麼在下次登錄時強制更改應該沒有問題。

但是,如果您沒有給您的使用者足夠的通知,那麼當他們在下次登錄時被迫更改密碼時,他們中的許多人會措手不及,並且您將經常處理以下情況:

  1. 使用者登錄並看到他們必須更改密碼。
  2. 使用者不太關心密碼策略,但非常想檢查他們的電子郵件,因此基本上隨機選擇一個新密碼。
  3. 使用者很快忘記了這個新密碼,無法再登錄,並請求您幫助重置。

至於知道使用者是否更改了他/她的密碼,Active Directory為每個使用者儲存了一個pwdLastSet屬性:

上次更改此帳戶密碼的日期和時間。此值儲存為一個大整數,表示自 1601 年 1 月 1 日 (UTC) 以來的 100 納秒間隔數。如果此值設置為 0 並且 User-Account-Control 屬性不包含 UF_DONT_EXPIRE_PASSWD 標誌,則使用者必須在下次登錄時設置密碼。

您可以對 Active Directory 執行查詢以查找pwdLastSet幾天前的使用者,然後僅強制這些使用者重置其密碼。

最後,要同時為多個使用者設置“下次登錄時必須更改密碼”標誌,您可以使用dsmod

dsmod user <user_dn> -mustchpwd {yes|no}

為每個很久以前的使用者創建一個帶有dsmod命令的批處理文件,瞧!pwdLastSet你有你的密碼策略執行機制。

引用自:https://serverfault.com/questions/288743