服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用户不能更改密码
Intereting Posts
GPO在用户gpresult但不更新设置 auth.log是否存储mysqllogin尝试? 我如何检查为什么Active Directory无法使用Kerberos并将其还原到NTLM? NOC情境意识 Apache不提供我的Python应用程序 在RHEL5 / CentOS系统上将svnserve设置为服务 在vSphere中针对克隆的VM脚本更改为vNIC Nginx内部重写位置以提供静态内容 使用FastCGI / WinCache的IIS和PHP没有看到更新的文件 查看“任务pipe理器”types远程显示 Gitlab无法升级到第9版 Powershell远程处理:在两台目标服务器上执行本地function 什么是DNS请求的样子? 如何在没有NIS的情况下同步用户,密码,主机等 专用服务器有一个IP范围。 有超过1个有什么好处吗?

用户不能更改密码

我遇到这种情况,我需要限制用户在Active Directory(Windows Server 2008 Standard)环境中更改密码的权限。 我需要的是检查帐户选项,其中:

  1. 用户不能更改密码
  2. 密码永不过期

有没有最好的方式来通过组策略来执行这个策略?

对于用户不能更改密码,我想通过禁用组策略(用户configuration – >pipe理模板 – >系统)Ctrl + Ald + Del来做到这一点。

请任何想法将是非常有益的。

提前谢谢了。

使用“最长密码使用期限”为0天(无限制 – 实际上是全局“永不过期”)和“最短密码使用期”为998天(最多)来configuration您的域的密码策略。

用户可以在2.7岁之后更改密码 – 如果这是个问题,那么在2014年7月的日历上放置待办事项,以便手动移动pwdLastSet属性的date。

  1. 你想把这个应用到所有的用户(这将包括你自己的帐户)?
  2. 有命令行方式来改变你自己的密码,阻止ctrl-alt-del不会停止这些。

所以真正的问题是:你为什么要限制这些帐户? 有可能更好的方法。

(这些帐户选项是你所需要的:为什么不把它们设置?)

基于评论 :我希望将组策略应用到用户的OU是最简单的方法。 确保豁免的用户位于单独的OU中。 但是,密码策略是计算机configuration的一部分,因此适用于计算机而不是用户 因此,我预计,除非两组用户从不使用相同的计算机,否则它将无法工作。

将目标用户放在他们自己的OU中将允许脚本遍历所有用户,并确保select这两个选项(可以调度此脚本)。 有很多脚本示例来修改OU中的所有用户(例如, 这个 )。 这留下了用户的初始创build:或者从模板用户创build(通过AD工具中的副本),或者也可以编写脚本。

总的来说,这是违背所有良好做法的政策(更改密码可以确保泄露的密码知识是无效的),所以您必须做一些额外的工作才能逆stream而退。