下次更改密碼時更改密碼過期策略

我們的密碼政策最長密碼使用期限為 180 天。由於各種原因，我們需要將其更改為 90 天，以盡量減少對使用者的影響。

我們的使用者通常會多次收到有關即將更改的密碼的警告。如果我們今天更改 GPO，那些在 90 天前更改密碼的人將面臨立即的密碼更改請求，這會導致問題。顯而易見的解決方案是發送警告，告訴他們密碼到期將在某天更改，因此要求他們在該天之前更改密碼以重置其計數器並且不受影響。歷史和科學研究表明，此類警告在 0.37% 的案例中被閱讀、理解和考慮。

另一種可能性是僅在下一次密碼更改（自願或到期強制）之後對每個使用者強制執行此新策略。如果今天引入，則有效覆蓋範圍將在最多 179 或 180 天后生效（對於那些在政策修改之前更改密碼的人）。夠好了。

這種政策變化是否有合適的設置？

沒有內置這樣的東西。你可以做的是：

這會照顧在過去 76 天內更改密碼的所有使用者（允許 14 天的警告期）：

• 創建一個應用 90 天策略的組
• 查詢 AD 以獲取最近 76 天內更改密碼的所有使用者
• 將它們添加到組中

這會照顧其餘的使用者：

• 創建您應用更高密碼策略的組，例如每個 10 天？所以，90、100、110、120、130 等等。
• 查詢 AD 以獲取密碼在該時間範圍內（-14 天）內過期的使用者
• 將使用者添加到相應的組

完成周期後（如果執行得當，不應超過 24 天，例如 14 天寬限期和 10 天“間隙”），您可以將 90 天策略設置為預設值並刪除組/細粒度策略.

這樣，您給使用者至少 14 天的時間來使用“正常”Windows 方法和警告更改密碼，此外，其他使用者已經應用了正確的策略

注意：這要求 AD 為 2008+ 才能使細粒度策略起作用。有關詳細資訊，請參閱此 TechNet 文章

引用自：https://serverfault.com/questions/612902