Это не собирается работать :)
Нет (afaik) никакой установки реестра, которая включает или отключает доступ в Интернет и определенно нет никакой установки почтамта для позволения/отклонения интернет-использования. Я мог думать о некоторых (дрянной, легко съемный) препятствия, которые Вы могли бросить в своих пользователей, но в конечном счете Вы должны bloxk доступ в Интернет в своем брандмауэре и/или прокси-сервере.
Таким образом, я действительно предложил бы: установите (прозрачный) прокси сквида с (прозрачным) AD/аутентификацией NTLM и заблокируйте определенных пользователей там.
Я не вижу, почему временный пароль должен истечь? Если пользователь никогда не входит в систему затем, это не должно истекать, потому что пользователь должен выбрать новый, таким образом, он знает это.
Согласно этому на первом доступе записи пользователем, пользователь должен будет изменить его на первой аутентификации http://linux.die.net/man/5/slapo-ppolicy
Вы говорите, что пользователь может проигнорировать изменение его, когда он сначала входит в?
Похоже, что Вы, возможно, должны добавить pwdMustChange:TRUE для принуждения изменения на следующем входе в систему. Предварительно истекая пароль и отключение льготных логинов могут также требоваться.
Отключение льготных логинов вызовет проблемы для пользователей, которые позволяют их паролю истечь, таким образом, Вы могли бы хотеть увеличить время предупреждения истечения пароля.
Я понимаю, что это сообщение довольно старо, но ему еще не ответили. У меня нет опыта с OpenLDAP, но с OpenDJ существует ds-cfg-max-password-reset-age свойство, которое устанавливает максимальный отрезок времени, который пользователю дают для изменения их пароля после того, как это было сброшено.
Надеюсь, это поможет.
Вы можете установить pwdMustChange = true
в ppolicy и добавить ] pwdReset = true
пользователю,
Пользователь сможет успешно выполнить привязку, но получит запрос: «Пароль должен быть изменен».