Windows-Server-2003

如何通過 Active Directory 隨機或錯開密碼過期?

  • April 12, 2013

我們即將實施一項新的密碼政策,要求使用者每六個月更改一次密碼。我們還需要每個使用者在本週更改他們的密碼。我寧願不創建一年兩次的密碼更改狂熱,而是更願意隨機化或錯開密碼到期日期。

嘗試在 ADSI 編輯中修改 pwdLastSet 屬性時收到錯誤消息。看來該屬性可能是只讀的。如果我可以寫信,我不確定直接修改 pwdLastSet 屬性是否會產生任何不良影響。

我考慮實施多個密碼策略,但據我閱讀,DFL 2003 不支持多個密碼策略,這需要升級(儘管它可能會成為最終升級的半體面的藉口。)

當所有使用者都需要立即更改密碼時,如何避免每六個月發生一次為期一周的公司範圍內的密碼更改?

有幾種方法可以做到這一點。我沒有很好的經驗嘗試以程式方式隨機化這個 - 嘗試向 pwdLastSet 屬性寫入除 0 或 -1 之外的任何內容對我不起作用。

我傾向於應用您的新密碼策略,然後每週使一組使用者的密碼過期以分散負載。

您可以使用admodify重置上次修改日期。我會抓取一個組(我實際上是從 TXT 文件中導入了使用者名列表)並要求他們在下次登錄時更改密碼。

我保留了一個電子表格,以了解哪些使用者仍需要過期。

這種方法的兩個缺點 - 您需要多次執行此腳本,並且使用者將無法使用他們的第一個複雜密碼整整六個月。

引用自:https://serverfault.com/questions/498841