我将在我们的域中执行一个新的密码策略。
我有的主要问题是我应该等待最大时间传递给用户更改其当前的密码,或执行:在下次login更改?
我有很多用户,并且一个一个地去设置这个改变可能需要半天的时间。 但要等待最长的时间,可以采取91天(如设置)。
我想最大的时间设置为5天(例如),并在第四天再次改变到我想要的91,但我不知道如何知道是否所有的用户在那个时候更改密码。
想法?
你有没有把新的密码政策传达给你的用户?
如果你确定知道每个人都知道会有一个新的策略,并且他们将不得不改变他们的密码,那么在下次login时执行更改应该没有问题。
但是,如果您没有充分注意到用户,那么在下次login时被迫更改密码时,他们中的许多用户将不知不觉地被捕获,并且您将会处理以下场景:
至于知道用户是否更改了密码,Active Directory会为每个用户存储一个pwdLastSet属性:
此帐户的密码上次更改的date和时间。 该值存储为一个大整数,表示自1601年1月1日(UTC)以来的100纳秒间隔数。 如果此值设置为0,并且用户帐户控制属性不包含UF_DONT_EXPIRE_PASSWD标志,则用户必须在下次login时设置密码。
您可以针对Active Directory运行查询来查找pwdLastSet在几天前的用户,然后仅强制这些用户重置其密码。
最后,要为多个用户同时设置“下次login时必须更改密码”标志,可以使用dsmod :
dsmod user <user_dn> -mustchpwd {yes|no}
使用dsmod命令为每个pwdLastSet太早的用户组成一个batch file,瞧! 你有你的密码策略执行机制。
制定你的政策。 将改变传达给你的用户,让他们知道在某个特定的日子,新的政策将会生效。 前一天 – 提醒他们。 然后使用像这样的visual basic脚本强制用户在下次login时更改密码。
Set objUser = GetObject _ ("LDAP://CN=myerken,OU=management,DC=Fabrikam,DC=com") objUser.Put "pwdLastSet", 0 objUser.SetInfo
参考
这是非常主观的。 这可能归结为以下几个因素:
这是组织的组合,为什么需要改变,改变如何传递以及实施。 它在各个不同的组织以及它们的具体情况上会有很大的不同。