Windows

下次更改密碼時更改密碼過期策略

  • July 16, 2014

我們的密碼政策最長密碼使用期限為 180 天。由於各種原因,我們需要將其更改為 90 天,以盡量減少對使用者的影響。

我們的使用者通常會多次收到有關即將更改的密碼的警告。如果我們今天更改 GPO,那些在 90 天前更改密碼的人將面臨立即的密碼更改請求,這會導致問題。顯而易見的解決方案是發送警告,告訴他們密碼到期將在某天更改,因此要求他們在該天之前更改密碼以重置其計數器並且不受影響。歷史和科學研究表明,此類警告在 0.37% 的案例中被閱讀、理解和考慮。

另一種可能性是僅在下一次密碼更改(自願或到期強制)之後對每個使用者強制執行此新策略。如果今天引入,則有效覆蓋範圍將在最多 179 或 180 天后生效(對於那些在政策修改之前更改密碼的人)。夠好了。

這種政策變化是否有合適的設置?

沒有內置這樣的東西。你可以做的是:

這會照顧在過去 76 天內更改密碼的所有使用者(允許 14 天的警告期):

  • 創建一個應用 90 天策略的組
  • 查詢 AD 以獲取最近 76 天內更改密碼的所有使用者
  • 將它們添加到組中

這會照顧其餘的使用者:

  • 創建您應用更高密碼策略的組,例如每個 10 天?所以,90、100、110、120、130 等等。
  • 查詢 AD 以獲取密碼在該時間範圍內(-14 天)內過期的使用者
  • 將使用者添加到相應的組

完成周期後(如果執行得當,不應超過 24 天,例如 14 天寬限期和 10 天“間隙”),您可以將 90 天策略設置為預設值並刪除組/細粒度策略.

這樣,您給使用者至少 14 天的時間來使用“正常”Windows 方法和警告更改密碼,此外,其他使用者已經應用了正確的策略

注意:這要求 AD 為 2008+ 才能使細粒度策略起作用。有關詳細資訊,請參閱此 TechNet 文章

引用自:https://serverfault.com/questions/612902