Есть ли способ в Windows Server 2003 или 2008 и в Active Directory указать в политике, что когда срок действия пароля пользователя истекает в тот день, он должен истечь в определенное время, например, в 4:00 утра?
Проблема возникла, потому что истечение срока происходит в середине рабочего дня, скажем, в 9:00 утра. Затем, когда пользователь уже вошел в Windows в сети и использует разные приложения, они начнут вести себя неправильно из-за аутентификации. Им придется выйти из системы и снова войти, чтобы Windows запросила новый пароль.
Таким образом, если при входе в систему рано утром система запросит новый пароль, то в течение рабочего дня им не придется выходить из системы.
Один из администраторов AD сказал: «Пусть они проверяют, истекает ли срок действия их пароля до начала рабочего дня»... но кто на самом деле это делает?
И у меня нет доступа к AD, чтобы проверить эти типы политик. Так это возможно?
решение1
Насколько мне известно, это невозможно.
Могут появиться несколько уведомлений-напоминаний, сообщающих о том, что текущий пароль истекает через N дней, и предлагающих возможность его изменить. Если пользователь решит проигнорировать это напоминание, то, к сожалению, он сам себе роет могилу.
решение2
У нас похожая проблема.
Единственный способ, который я могу придумать, — это запускать скрипт каждую ночь, который будет проходить через Active Directory и определять, какой аккаунт истекает на следующий день. Если это так, пометьте его для смены пароля. Код будет выглядеть примерно так: я не пробовал запускать этот скрипт, поэтому, возможно, его нужно немного подправить:
Const SEC_IN_DAY = 86400
Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000
Const ADS_SCOPE_SUBTREE = 1000
dim strname
dim strdist
dim dtmvalue
on error resume next
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
objCommand.CommandText = "SELECT distinguishedName, profilepath, name from 'LDAP://dc=Example,dc=com' where objectCategory = 'User'"
Set objuserRecordSet = objCommand.Execute
objUSerRecordSet.MoveFirst
Do Until objuserRecordSet.EOF
strdist = objuserRecordSet.Fields("distinguishedName").Value
strname = objuserRecordSet.Fields("name").Value
Set objUserLDAP = GetObject _
("LDAP://" & strdist)
intCurrentValue = objUserLDAP.Get("userAccountControl")
dtmValue = objUserLDAP.PasswordLastChanged
If intCurrentValue and ADS_UF_DONT_EXPIRE_PASSWD Then
x = "The password does not expire."
Else
Set objDomainNT = GetObject("WinNT://escc.gov.uk")
intMaxPwdAge = objDomainNT.Get("MaxPasswordAge")
If intMaxPwdAge < 0 Then
x = "Password does not expire"
Else
intMaxPwdAge=intMaxPwdAge/86400
strold = ((dtmValue + intMaxPwdAge)-now)
if strold < 2 and strold > 0 then
objUserLDAP.pwdLastSet = 0
objUserLDAP.SetInfo
end if
end if
End If
dtmValue= ""
objuserrecordset.movenext
Loop