Политика Нового пароля Active Directory - я должен ожидать?
Вы передали политику нового пароля своим пользователям?
Если Вы знаете наверняка, что все знают, что будет новая политика и что они оказываются перед необходимостью изменять свои пароли, то не должно быть никаких проблем с осуществлением изменения при следующем входе в систему.
Однако, если Вы не дали Вашим пользователям достаточно уведомления, затем многие из них будут пойманы неожиданно, когда они будут вынуждены изменить свой пароль при следующем входе в систему, и Вы будете иметь дело со следующим сценарием много:
- Пользователь входит в систему и видит, что они должны изменить свой пароль.
- Пользователь не очень заботится о политике паролей, но хочет очень проверить их электронную почту и так выбирает новый пароль по существу наугад.
- Пользователь забывает этот новый пароль вскоре после этого, не может больше входить в систему и просит у Вас справку со сбросом.
Что касается знания, изменил ли пользователь его пароль, Active Directory хранит атрибут pwdLastSet для каждого пользователя:
Дата и время, что пароль для этой учетной записи был в последний раз изменен. Это значение хранится как большое целое число, которое представляет количество интервалов с 100 наносекундами с 1 января 1601 (UTC). Если это значение установлено к 0, и атрибут Управления учетными записями пользователей не содержит флаг UF_DONT_EXPIRE_PASSWD, то пользователь должен установить пароль при следующем входе в систему.
Вы могли выполнить запрос против Active Directory для нахождения пользователей для кого pwdLastSet был больше чем несколько дней назад, и затем вынудите только тех пользователей изменить свои пароли.
Наконец, для установки флага "Must change password at next logon" для многочисленных пользователей сразу можно использовать dsmod:
dsmod user <user_dn> -mustchpwd {yes|no}
Составьте пакетный файл с a dsmod команда для каждого пользователя, чей pwdLastSet является слишком длинным назад, и вуаля! У Вас есть свой механизм осуществления политики паролей.
Настройте свою политику. Передайте изменение в своих пользователях и позвольте им знать, что в конкретный день новая политика вступит в силу. Накануне - напоминают им. Затем используйте сценарий как этот Visual Basic, чтобы вынудить пользователей изменить пароль при следующем входе в систему.
Set objUser = GetObject _
("LDAP://CN=myerken,OU=management,DC=Fabrikam,DC=com")
objUser.Put "pwdLastSet", 0
objUser.SetInfo
Это чрезвычайно субъективно. Это сводится возможно к некоторым следующим факторам:
- Существует ли событие, которое управляет изменением?
- Как быстро организация может обычно распространять информацию этой природы?
- Насколько разрушение это может изменить причину с ее реализацией по сравнению с нереализацией?
- Сколько поддержки доступно для поддержки изменения?
Это - комбинация организации, почему изменение необходимо и как быстро может изменение быть переданным, а также реализованным. Это будет варьироваться значительно через каждую различную организацию, а также их определенные ситуации.