Active Directory新的密码策略 – 我应该等待吗?

我将在我们的域中执行一个新的密码策略。

我有的主要问题是我应该等待最大时间传递给用户更改其当前的密码,或执行:在下次login更改?

我有很多用户,并且一个一个地去设置这个改变可能需要半天的时间。 但要等待最长的时间,可以采取91天(如设置)。

我想最大的时间设置为5天(例如),并在第四天再次改变到我想要的91,但我不知道如何知道是否所有的用户在那个时候更改密码。

想法?

你有没有把新的密码政策传达给你的用户?

如果你确定知道每个人都知道会有一个新的策略,并且他们将不得不改变他们的密码,那么在下次login时执行更改应该没有问题。

但是,如果您没有充分注意到用户,那么在下次login时被迫更改密码时,他们中的许多用户将不知不觉地被捕获,并且您将会处理以下场景:

  1. 用户login并看到他们必须更改密码。
  2. 用户并不太在意密码政策,但是非常希望检查他们的电子邮件,所以随机select一个新的密码。
  3. 用户此后不久会忘记此新密码,无法再login,并要求您提供重置帮助。

至于知道用户是否更改了密码,Active Directory会为每个用户存储一个pwdLastSet属性:

此帐户的密码上次更改的date和时间。 该值存储为一个大整数,表示自1601年1月1日(UTC)以来的100纳秒间隔数。 如果此值设置为0,并且用户帐户控制属性不包含UF_DONT_EXPIRE_PASSWD标志,则用户必须在下次login时设置密码。

您可以针对Active Directory运行查询来查找pwdLastSet在几天前的用户,然后仅强制这些用户重置其密码。

最后,要为多个用户同时设置“下次login时必须更改密码”标志,可以使用dsmod

 dsmod user <user_dn> -mustchpwd {yes|no} 

使用dsmod命令为每个pwdLastSet太早的用户组成一个batch file,瞧! 你有你的密码策略执行机制。

制定你的政策。 将改变传达给你的用户,让他们知道在某个特定的日子,新的政策将会生效。 前一天 – 提醒他们。 然后使用像这样的visual basic脚本强制用户在下次login时更改密码。

 Set objUser = GetObject _ ("LDAP://CN=myerken,OU=management,DC=Fabrikam,DC=com") objUser.Put "pwdLastSet", 0 objUser.SetInfo 

参考

这是非常主观的。 这可能归结为以下几个因素:

  • 有没有推动变革的事件?
  • 通常情况下,组织通常能传播这种性质的信息多久?
  • 这种改变会导致实施与不实施之间有多less中断?
  • 有多less支持可以支持这个改变?

这是组织的组合,为什么需要改变,改变如何传递以及实施。 它在各个不同的组织以及它们的具体情况上会有很大的不同。