У меня есть несколько учетных записей в каталоге, которые не требуют смены пароля каждые несколько месяцев. Тем не менее, пользователь должен иметь возможность изменить его, если он пожелает (тем более, что мы отправляем исходные пароли в виде открытого текста).

В AD есть опция "пароль никогда не истекает", который должен делать именно это, но это не так. Проверка этого запрещает изменение пароля (хотя есть отдельный флажок "пользователь не может изменить пароль").

Общая политика, согласно которой пользователи должны менять пароль, не должна затрагиваться, за исключением нескольких учетных записей. Как я могу этого достичь?

|источник

1 ответ1

0

У меня есть несколько учетных записей в каталоге, которые не требуют смены пароля каждые несколько месяцев.

Убедитесь, что параметр Password никогда не истекает , отмечен в свойствах объекта AD пользователя.

Тем не менее, пользователь должен иметь возможность изменить его, если он пожелает (тем более, что мы отправляем исходные пароли в виде открытого текста).

Убедитесь, что параметр Пользователь не может изменить пароль , не отмечен в свойствах объекта AD пользователя.

Общая политика, согласно которой пользователи должны менять пароль, не должна затрагиваться, за исключением нескольких учетных записей.

Вы не можете использовать такие инструменты, как групповая политика, чтобы настроить любой из этих параметров для группы пользователей. Вместо этого вы должны изменить настройку путем непосредственного редактирования объекта пользователя AD целевых пользователей.

Вы можете редактировать оба этих параметра сразу для нескольких пользователей, выбрав всех пользователей в оснастке ADUC, затем щелкните правой кнопкой мыши одного из выбранных пользователей и выберите « Свойства». Изменения, сделанные в открывшемся диалоговом окне, коснутся всех выбранных пользователей.

Чтобы редактировать свойства нескольких пользователей, которые не могут быть одновременно выбраны в ADUC, рассмотрите инструмент командной строки, такой как ADMOD.

Для новых учетных записей, созданных в будущем, рассмотрите возможность использования шаблонов для создания пользователей. У вас может быть один шаблон с именем Password Expires User Template, а другой с именем Password Is Expire User Template. Затем установите соответствующие параметры в каждом шаблоне.

Использовать шаблон в ADUC просто:

  1. Создайте фиктивную учетную запись пользователя в качестве шаблона. Установите нужные параметры для пользователей, созданных из шаблона. Также отключите учетную запись.
  2. Чтобы создать пользователя из шаблона пользователя, просто скопируйте учетную запись шаблона, чтобы создать нового пользователя. Настройте нового пользователя по своему усмотрению и включите учетную запись. Новая учетная запись будет иметь те же параметры, которые были настроены для объекта шаблона.

Это отличный способ обеспечить единообразное создание новых учетных записей, даже если за добавление новых пользователей в домен отвечают несколько администраторов.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .