我们有密码策略,密码最长为180天.由于各种原因,我们需要将其更改为90天,对用户的影响最小.
我们的用户通常会在几次之前警告过即将发生的密码更改.
如果我们今天更改了GPO,那些在90天前更改密码的人将面临即时的密码更改请求,这将导致问题.显而易见的解决方案是发出警告,告诉他们密码过期将在这样的一天发生变化,因此要求他们在当天之前更改密码,以便重置他们的计数器而不会受到影响.历史和科学研究表明,在0.37%的案例中,这些警告被阅读,理解和考虑在内.
另一种可能性是仅在下一次密码更改(自愿或在到期时强制)之后,基于每个用户强制执行此新策略.如果今天介绍了这一点,那么在最多179或180天之后(对于那些在政策修改之前就已经更改了密码的人),将实现有效覆盖.够好了.
是否有适合这种政策变化的环境?
内置没有这样的东西.
你能做的是:
原文链接:https://www.f2er.com/windows/368311.html你能做的是:
这将照顾在过去76天内更改密码的所有用户(允许14天警告期):
>创建一个应用90天策略的组
>查询AD以获取在过去76天内更改密码的所有用户
>将它们添加到组中
这将照顾其余的用户:
>创建应用更高密码策略的组,例如每个10天?所以,90,100,110,120,130等等.
>查询AD以获取密码在该时间范围内到期的用户(-14天)
>将用户添加到相应的组
完成周期后(如果正确执行不应超过24天,例如14天宽限期和10天“差距”),您可以将90天策略设置为默认值并删除组/细粒度策略.
这样,您可以使用“正常”Windows方法和警告为用户提供至少14天的更改密码,此外,其他用户已经应用了正确的策略
注意:这要求AD在2008年才能生成细粒度策略.有关详情,请参见this TechNet Article
