active-directory – 如何实现细粒度密码策略并期望XP机器运行良好?

前端之家收集整理的这篇文章主要介绍了active-directory – 如何实现细粒度密码策略并期望XP机器运行良好?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个2008 R2功能级域名,我正在实施我的组织将要使用的第一个实际密码策略.

为了慢慢向用户推广,我们选择使用细粒度密码策略(FGPP)仅适用于我们选择的某些用户.为此,我们将此策略分配给将其用作影子组的组.我们已经完成了创建PSO对象的过程,并确认新策略仅适用于该组内的用户.一旦我们感到舒服,我们将删除此PSO并将密码策略移至默认域策略.幸运的是,我能够为所有用户使用一个策略.

在大约5,000台桌面中,我们可能仍然超过75%的Windows XP.在我们的测试中,我们发现,如果此FGPP适用于此新组中的用户,并且他们在登录Windows 7 PC时被迫更改密码,则效果很好.但是,在登录Windows XP PC时,它仍会强制他们更改密码,但错误消息会使用默认域策略中的策略.如果我们开始推出这个问题,用户一旦尝试密码就会感到困惑并收到一条错误消息,告诉他们在那些不是实际要求的情况下尝试另一个.

如此Technet article中所述,它表示这是一种已知行为并建议忽略它.这对我们来说是不可能的.如果在Windows XP PC上出现这种情况,我们就无法使用FGPP.

我们已经考虑过为所有用户设置“密码永不过期”属性,然后在默认域策略级别实施密码策略,但是如果出现问题,我们宁愿不这样做,因为可能存在质量混乱.

有没有人遇到过这个或者可以提出任何建议?这是GINA中的错误消息吗?它可以被修改吗?

这是设计和代码.在Windows XP中,您将收到默认密码错误消息,其中包含您可以使用默认域策略配置的密码设置.

从Vista开始,您现在收到“无法更新密码.为新密码提供的值不符合域的长度,复杂性或历史记录要求.”微软使其更具通用性,涵盖了所有不同的FGPP选项.他们从未回过头来改变Windows XP中的代码.因此,为什么您会看到密码策略默认域策略消息.

如果您确实想要更改它,则必须创建自定义登录UI提供程序.但是,由于Windows XP的支持时间不到一年,因此您可能最好只培训员工了解该问题.或者花时间升级其余的XP客户端.

猜你在找的Windows相关文章