在不locking用户的情况下实施新的密码策略

背景 :多年来,我们已经有一个非常轻松的AD密码政策。 用户有'密码永不过期'设置,我们没有执行力量或任何东西。 我们现在要纠正这个问题,并且在AD中打开了强密码的要求,并且设置密码在180天后过期。

值得注意的是,我们的电子邮件系统是Zimbra,它通过LDAP向AD进行身份validation

问题 :我找不出一种强制用户更改密码的方法,但让他们继续使用当前密码一两周,直到他们都可以login到域计算机。 任何我尝试的事情都会影响到我一做就locking用户。 所以说一个经理本周正在开会,直到下周才会回来。 一旦我尝试实施这个政策,他就停止在他的电话上收到电子邮件,直到他回到办公室并重新login

尝试解决scheme

  1. closures密码永不过期,打开“用户下次login时必须更改密码”。 结果是当前密码被视为过期,AD拒绝通过ldap授权用户(该用户没有电子邮件)

  2. 尝试通过closures“密码永不过期”来欺骗它,将pwdLastSet设置为-1,这使得它们的最后一次密码改变,然后设置“用户必须在下次login时更改密码”。 结果:pwdLastSet被设置为0 [永不]并且密码被认为已经过期,并且不会authentication用户

有什么办法来完成我想要做的?

什么是您的域和林function级别? 细粒度的密码政策听起来像他们可能是你的朋友在这里 。

您可以使用它们来排除您需要从密码策略中排除的用户,直到您准备好为止,并且/或者设置PowerShell脚本以[有效]按计划将这些策略应用于用户。

如果只是通过正确的通知电子邮件传达政策更改,定义合理的宽限期? 通知几次,包括宽限期的最后一天。 基于此,你应该能够捡到大多数人

如果您必须在宽限期后强制执行此操作,请在第一次通知之前针对所有拥有“密码上次设置”date的用户运行一次性脚本,禁用它们或强制“用户必须在下次login时更改”标志。

否则,您是否可以不更新所有“密码永不过期”字段而不检查“下次login时必须更改”,并使用pwdLastSet = -1技巧在宽限期开始时重置date?

我会发送一封电子邮件给那些没有在门槛内更改密码的用户,并告诉他们在指定的date更改密码,之后密码永不过期将被closures。 当该date到达时,删除已更改密码的用户的密码永不过期。 重复,直到完成。

据我了解,你正在寻找一种方法来创build一个时间窗口,只会强制用户login到计算机,而不是电话。
我不认为这是可能的,但我有几个想法:

  1. 创build多个密码策略对象(PSO)并根据需要将其应用于不同的用户。
  2. 在所有PSO中设置通知,以便用户能够收到足够早的密码过期警告(甚至可以发送电子邮件),所以他们会记得在办公室里更换密码。

创build一个PSO只能在域级别2008,所以如果这不是你的域级别只是在主策略(在GPO)做这些设置。

如何创build一个PSO:
http://technet.microsoft.com/en-us/library/cc754461.aspx
http://kpytko.pl/active-directory-domain-services/fine-grained-password-policy-in-windows-server-20082008r2/