我们有一个密码政策,密码最长年限为180天。 由于各种原因,我们需要将其更改为90天,对用户影响最小。
我们的用户通常会提前多次提醒密码更改。 如果我们今天改变了GPO,那么在90天前更改密码的人将会面临立即更改密码的请求,这将导致问题。 显而易见的解决办法是发出警告,告诉他们密码到期会在当天发生变化,所以他们被要求在那天之前改变他们的密码,以便重置他们的计数器而不受影响。 历史和科学研究表明,这类警告在0.37%的案例中被阅读,理解和考虑。
另一种可能性是仅在下一次密码更改(自愿或强制到期)之后,以每个用户为基础执行此新策略。 如果是今天推出的,那么在最多179天或180天之后(对于那些在政策修改之前就已经改变了密码的人),将实施有效覆盖。 够好了。
这样的政策改变是否有适当的设置?
没有内置的东西。 你可以做的是:
这将照顾在过去76天内更改密码的所有用户(允许14天警告期):
这照顾了其余的用户:
一旦你完成了这个周期(如果正确执行,不应超过24天,例如14天的宽限期和10天的“差距”),你可以将90天的政策设置为默认,并删除组/细粒度政策。
这样,您至less给用户14天的时间来使用“正常的”Windows方法和警告更改密码,并且其他用户已经应用了正确的策略
注意:这要求公元2008年以上的细粒度的政策工作。 有关详细信息,请参阅此TechNet文章