我有一个2008 R2功能级域名,我正在实施我的组织将要使用的第一个实际密码策略.
为了慢慢向用户推广,我们选择使用细粒度密码策略(FGPP)仅适用于我们选择的某些用户.为此,我们将此策略分配给将其用作影子组的组.我们已经完成了创建PSO对象的过程,并确认新策略仅适用于该组内的用户.一旦我们感到舒服,我们将删除此PSO并将密码策略移至默认域策略.幸运的是,我能够为所有用户使用一个策略.
在大约5,000台桌面中,我们可能仍然超过75%的Windows XP.在我们的测试中,我们发现,如果此FGPP适用于此新组中的用户,并且他们在登录Windows 7 PC时被迫更改密码,则效果很好.但是,在登录Windows XP PC时,它仍会强制他们更改密码,但错误消息会使用默认域策略中的策略.如果我们开始推出这个问题,用户一旦尝试密码就会感到困惑并收到一条错误消息,告诉他们在那些不是实际要求的情况下尝试另一个.
如此Technet article中所述,它表示这是一种已知行为并建议忽略它.这对我们来说是不可能的.如果在Windows XP PC上出现这种情况,我们就无法使用FGPP.
我们已经考虑过为所有用户设置“密码永不过期”属性,然后在默认域策略级别实施密码策略,但是如果出现问题,我们宁愿不这样做,因为可能存在质量混乱.