Tenho uma dúvida sobre a permissão do Active Directory para alterar a senha. É possível revogar a permissão para alterar a senha de usuários de uma UO específica?
Como posso realizar esta tarefa? Eu sei que isso pode ser feito para um grupo específico de usuários, mas é possível para usuários em uma UO específica?
ATUALIZAR
Obrigado por todas as suas respostas. Eles foram realmente úteis. Infelizmente, não posso votar positivamente nessas respostas devido à minha baixa reputação;)
95% dos usuários estão na UO sobre a qual estou escrevendo. Estou pensando em remover a permissão de alteração de senha do grupo Todos e criar um grupo para usuários que possam alterar suas senhas. O problema é que os usuários desta UO estão em outro aplicativo e devem alterar sua senha usando este aplicativo, não no AD. Os usuários que não estão nesta UO estão apenas no AD, portanto podem alterar suas senhas no AD.
Você acha que seria uma boa solução ou haverá problemas com isso?
Obrigado pela ajuda.
Responder1
As respostas de John Rennie e Sam Cogan (como John afirma tão apropriadamente) são "hacks", na medida em que tentam desabilitar a interface do usuário para alterar senhas, mas na verdade não eliminam a capacidade do usuário de alterar sua senha.
Acho que você está procurando uma alteração nas permissões que o Active Directory define por padrão na unidade organizacional onde as contas de usuário estão localizadas. Vou alertá-lo contra isso. Como a Microsoft já fornece essa funcionalidade por meio de um atributo nos objetos da conta do usuário, é realmente melhor usar esse atributo já fornecido do que alterar as permissões do AD. É provável que você encontre uma permissão que funcione e também é provável que o sistema operacional não exiba mensagens úteis.
Você realmente deveria apenas todos os usuários afetados usando Usuários e Computadores do Active Directory e modificando as propriedades das contas de usuário em massa. A resposta do Dart é funcionalmente igual a selecionar todas as contas de usuário e definir graficamente "O usuário não pode alterar a senha". Se você gosta mais da linha de comando, faça isso.
Existe uma funcionalidade para fazer isso com um "Direito Estendido" usando permissões do Active Directory no Windows 2003. Não estou encontrando uma boa documentação sobre o recurso. Aqui estão algumas informações básicas sobre os "direitos estendidos" associados à alteração de senhas, o primeiro relacionado ao "Modo de Aplicativo" do Active Directory (ou como a Microsoft o chama esta semana):
Tentei verificar a resposta de Massimo colocando uma permissão "SELF - Deny - User Objects - Extended Right: Change Password" em uma UO em meu teste W2K3 Active Directory (nível funcional de domínio do Windows 2003) e descobri que o usuário se opõe a isso ou abaixo A UO ainda conseguiu alterar suas senhas usando a funcionalidade de alteração de senha da GUI. Olhando para cada objeto de usuário, pude ver a permissão "Negar" herdada, mas o Active Directory pareceu ignorá-la.
Apenas remover a permissão "SELF - Permitir - Alterar senha" em um objeto de usuário me deu a mesma funcionalidade do teste acima. O usuário ainda tinha permissão para alterar sua senha.
Eu diria, com base nisso, que a resposta de Massimo também não faz o que você deseja.
eu encontreiEste artigoda Microsoft e testei. Quando direciono o script para um objeto de usuário individual, ele se comporta conforme desejado eo usuário não consegue alterar sua senha. Porém, isso não ajuda muito, já que você deseja definir isso por UO.
No entanto, quando direciono esse script da Microsoft para uma UO, o comportamento por mais tempo é o esperado. (Além disso, se eu modificar as ACEs adicionadas à UO para aplicar a "Este objeto e objetos filhos" em vez de "Somente este objeto", conforme concedido pelo script, o comportamentoaindanão é como esperado.)
Estou realmente batendo minha cabeça contra a parede neste caso. Isso parece uma peculiaridade do comportamento do Active Directory que não está bem documentado. Eu já passei pelo"Serviços de Domínio Active Directory"eEsquema do Active Directorydocumentação e não estou encontrando documentação para descrever esse comportamento.
Responder2
Verhttp://support.microsoft.com/kb/324744
No entanto, observe que isso é um pouco complicado. Isso não impede que os usuários alterem suas senhas, apenas remove a opção de fazer isso na caixa de diálogo ctrl-alt-del. Os usuários ainda podem usar um trocador de senha de linha de comando.
Jr.
Responder3
Sim, você pode fazer isso por meio da política de grupo. Abra o editor de política de grupo para a UO que você deseja restringir (clique com o botão direito na UO, propriedades, guia de política de grupo). Crie uma nova política ou edite uma existente e acesse:
User Configuration -> Administrative Templates -> System
Aqui, selecione Opções Ctrl+Alt+Del, no painel direito, habilite a opção ‘Remover alteração de senha’.
Feche o editor de políticas de grupo. Para garantir que seja aplicado imediatamente, abra um prompt de comando e execute
gpupdate /target:user /force
Responder4
Você pode remover a permissão para fazer isso para um usuário específico removendo (ou negando explicitamente) "alterar senha" dos direitos de usuário atribuídos a "SELF".
Você precisa editar manualmente a ACL no próprio objeto de usuário; você pode acessá-lo habilitando recursos avançados no console Usuários e Computadores do Active Directory (Exibir -> Recursos Avançados) e, em seguida, abrindo as propriedades do usuário e selecionando "Segurança".