域用户密码过期策略疑问

全部回复

• 

  

  1

  登录进行投票

  电脑本机的交互式登录不会有问题，登录时会提示用户当场修改密码。但很多其他的集成AD验证的应用，在密码修改过之前会有问题。

  另外根据我的经验，一下子大幅缩短密码有效期，会导致大量用户的密码同时过期，可能会让你们的helpdesk应接不暇，造成混乱。我的做法是渐进式地小幅缩短有效期，比如每天将有效期缩短3天，这样不会引起大范围地混乱。

  • 已建议为答案 Xin GuoMicrosoft contingent staff, Moderator 2022年9月28日 6:34
  • 已标记为答案 Dean HuL 2022年9月28日 8:05

  2022年9月28日 0:25

  回复

  |

  引用
• 

  

  0

  登录进行投票

  Stanley_L 回答已经很周全的建议标记为答案。补充一点就是注意“服务账号“过期的问题。

  ---

  本帖子以”现状”提供且没有任何担保，同时也没有授予任何权利。 如果您的问题得到解答，请在登录后将此回复标记为“答案”，非常感谢您的支持。

  2022年9月28日 6:39

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  我单独做了一条策略进行测试，将一个账号应用了这个策略，但是这个账号的密码到期时间还是原来的180，但是查看本机上的策略已经同步了域控的90天到期

  2022年9月29日 2:02

  回复

  |

  引用
• 

  

  0

  登录进行投票

  组策略里的密码策略是计算机策略，只对被应用的计算机本机账号有效。

  对AD账号设置密码策略应该应用在域控制器上，或者直接修改Default Domain Controller Policy。这种方式对全域有效。

  如果要分别对不同的AD账号设置不同的密码策略，需要使用颗粒度密码策略（Fine-Grained Password Policy - FGPP）。

  AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide

  Introduction to Active Directory Administrative Center Enhancements (Level 100)
  

  
  

  • 已编辑 Stanley_L 2022年9月29日 2:34

  2022年9月29日 2:31

  回复

  |

  引用