Я не могу проверить это без проблем для многих людей. Я хотел бы включить в групповой политике срок действия пароля для моих сотен пользователей Active Directory, но избегайте проведения адского дня для всех.

Допустим, у большинства пользователей более 100 дней с момента смены пароля. Если я сейчас установлю групповую политику так, чтобы срок действия паролей истек через 100 дней, я ожидаю, что большинство из них будет немедленно заблокировано. Но я бы хотел, чтобы сегодня меняли пароль для смены группы, а на следующей неделе - еще один пароль для смены группы и т.д. Затем, после того, как соблюдающие правила изменили пароли и все должным образом уведомлены, я могу включить групповую политику.

Зависит ли срок действия пароля AD от создания правила в групповой политике? Сработает ли каждый в тот же день позже? Или в шахматном порядке в упомянутых мной когортах?

1 ответ1

1

Не используйте срок действия пароля AD, чтобы сделать это изначально.

Вместо этого используйте powershell или даже AD Users and Computers, чтобы пометить определенную группу пользователей для изменения их пароля при следующем входе в систему.

Если вы используете AD Users and Computers, вы можете выбрать нескольких пользователей, а затем щелкнуть правой кнопкой мыши и установить свойства оптом.

Если вы используете powershell, вы можете дополнительно проверить, когда последний раз изменялся пароль, и, если в течение определенного времени, пометить учетную запись для смены пароля.

Как только все обновятся, как вы сказали, включите групповую политику, чтобы установить срок действия пароля.

В powershell вы будете использовать комбинацию get-aduser и set-aduser для выполнения этой задачи.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .