none
Ограничение на длину пароля в AD? Что нужно чтобы применилось? RRS feed

  • Общие обсуждения

  • Приветствую.

    Покурил эту ветку, но подобного вопроса не нашел (возможно плохо искал).
    Есть домен на Вин2000. Нужно сделать минимальную длину паролей в 8 символов. Лезу в груповые политики домена (Default Domain Policy). Иду в Comp. Conf - Windows Settings - Secur. Sett. - Account Policies - Password Policy. Указываю там минимальную длину пароля в 8 символов.
    Проверяю на втором контроллере поменялась ли эта политика. Поменялась.
    смотрю на клиенте с помощью GPResult изменились ли политики для клиента. Изменились (после гпапдейт).
    И вот тут вопрос. А нужно ли для пользователей указывать форс апдейт паролей (ну или срок действия задать), чтобы те у кого пароли меньше минимума их сменили или должно запросить смену при следующем логине?
    Интересуюсь потому что, у меня при следующем логине (как при релогине, так и при перезагрузке) ничего не спросило, а пустило с коротким паролем как ни в чем не бывало.

    И если таки нужно делать форс-апдейт, то можно ли сделать так, чтобы пользователей с нормальными паролями не трогать (не зная, у кого, какой длины пароль), а тех, кто с короткими, чтобы при релогине попросило сменить?

    2 марта 2009 г. 10:48

Все ответы


  • Он не будет запрашивать смену паролей для пользователей  у кого не совпадает политика с нынешней.
    Поэтому  в данной ситуации  я бы заставил всех поменять пароль....

    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    2 марта 2009 г. 10:53
  •  Мм. ясна..
    Теперь по второму вопросу.. но есть один нюанс.
    В Домене есть подгруппа пользователей ШареПоинта, при этом они не являются пользователями домена (у них единственная группа это собственно группа пользователей ШареПоинта).
    Так вот что нужно сделать, чтобы заставить всех пользователей сменить пароли при следующем логине, а пользователей шарепоинта не трогать..

    вообще вопрос сводится к тому как заставить сменить пароли всех из группы Users (я так понимаю, она создается по умолчанию в AD) у кого Type стоит User?
    2 марта 2009 г. 11:08
  • <oops...>
    Спасибо моей работе, TechNet'у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!
    2 марта 2009 г. 11:16
    Отвечающий
  •  Выполнить команду
    dsget group "cn=domain users,cn=users,dc=domain,dc=com" -members | dsmod user -mustchpwd yes
    2 марта 2009 г. 11:17
    Отвечающий
  • Вариант - Выбрать с шифтом всех пользователей  - далее правой кнопкой - свойства - второя вкладка - user must change password at next logon.
    Это необходимо делать относительно Ваших пользователей, которые используются людьми. Системные учётки подвергать смене пароля НЕ НАДО.
    Обычно  структура AD предполагает не дефолтный контейнер(а)  с пользователями к примеру такого рода - Users -emea-ru-mos , где в данном контейнере находятся учётки пользователей из города МОСКВА.
    Если же у Вас все пользователи разнесены в один контейнер USERS и их более 20, то стоит задуматься не о тупой ручной смене, а о смене паролей с помощью команды dsget 


    RuForce, интересно почему??


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    2 марта 2009 г. 11:18
  •  Если выбрать несколько пользователей то по правой кнопке пункта Свойства нет, поэтому предложенный вариант можно реализовать только по очереди вызывая свойство для пользователей.

    пойду "курить" dsget
    2 марта 2009 г. 12:27
  •  что значит нет?
    http://s43.radikal.ru/i101/0903/57/c85cc88748c7.bmp
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    2 марта 2009 г. 12:30
  •  то и значит
    http://s40.radikal.ru/i087/0903/64/24decb5a59a9.png

    домен 2000, может в этом дело?
    2 марта 2009 г. 12:44
  •  угу....домен 2000

    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    2 марта 2009 г. 12:45