none
如何強制AD帳號特定時間修改密碼 RRS feed

  • 問題

  • 各位大哥:

    小弟有一個問題想尋問,公司目前Mail環境為Windows SERVER 2012 R2,EXCHANGE 版本為 2013 SP1,

    因主管要求,希望每三個月的5號統一改密碼,但我進密碼原則修改修項,他只能以天數為修改密碼條件,有辦法是以季約單位讓全公司員工

    簡單來說就是,每1、4、7、10月的5號強制修改密碼嗎!?


    • 已移動 AskaSuModerator 2015年7月3日 上午 08:00
    • 已編輯 AskaSuModerator 2015年7月3日 上午 08:02 修改適當標題,原始標題:EXCHANGE 2013 如何以特定時間修改密碼
    2015年7月3日 上午 07:47

解答

  • 這個問題跟 Exchange 比較沒有關係,
    因為 Exchange 的帳號密碼是來自 AD,
    所以我把文章移動適當位置及修改標題。

    回到你的問題,GPO 沒有內建特定時間修改密碼這樣的功能,
    就是用天數去計算。

    如果希望特定時間強制全公司員工修改密碼,
    可以試著在指定日期的凌晨,
    在網域控制站用 PowerShell 對 AD 帳號執行類似以下指令,
    也就是下完指令後,該帳號登入時,仍可先以舊有密碼登入,
    但登入後會被要求輸入新密碼

    Set-ADUser -Identity askasu -ChangePasswordAtNextLogon $true
    或者參考這篇文章對全公司帳號執行
    Force All AD User Accounts to Change Passwords at Next Logon

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 George.Chang 2015年7月19日 下午 01:47
    2015年7月3日 上午 08:10
    版主

所有回覆

  • 這個問題跟 Exchange 比較沒有關係,
    因為 Exchange 的帳號密碼是來自 AD,
    所以我把文章移動適當位置及修改標題。

    回到你的問題,GPO 沒有內建特定時間修改密碼這樣的功能,
    就是用天數去計算。

    如果希望特定時間強制全公司員工修改密碼,
    可以試著在指定日期的凌晨,
    在網域控制站用 PowerShell 對 AD 帳號執行類似以下指令,
    也就是下完指令後,該帳號登入時,仍可先以舊有密碼登入,
    但登入後會被要求輸入新密碼

    Set-ADUser -Identity askasu -ChangePasswordAtNextLogon $true
    或者參考這篇文章對全公司帳號執行
    Force All AD User Accounts to Change Passwords at Next Logon

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 George.Chang 2015年7月19日 下午 01:47
    2015年7月3日 上午 08:10
    版主
  • 建議您還是使用固定天數更換密碼(如:91天、84天...等),這樣可以確定到期日會在上班日發生,如果VIP要障礙排除你比較不需要假日加班,避免你碰到五號是假日,如需以每隔三個月五號都要去設定一次指令執行強制登入變更密碼,建議以排程執行,較節省管理人力,提供您參考。
    2015年7月3日 上午 09:02