Сбросить историю паролей в Active Directory на определенную дату

Question 1

Я не знаю способа сбросить историю паролей на заданный момент времени. Я думаю (но не уверен), что если вы измените политику на сохранение последних трех паролей, то она сохранит последние три пароля, но отбросит более ранние. Если вы знаете, как часто нужно менять пароли, например, если политика требует смены каждые 30 дней, вы можете использовать это, чтобы сбросить историю паролей на приблизительный момент времени.

Дж.Р.

Answer

Я не знаю способа сбросить историю паролей на заданный момент времени. Я думаю (но не уверен), что если вы измените политику на сохранение последних трех паролей, то она сохранит последние три пароля, но отбросит более ранние. Если вы знаете, как часто нужно менять пароли, например, если политика требует смены каждые 30 дней, вы можете использовать это, чтобы сбросить историю паролей на приблизительный момент времени.

Дж.Р.

Question 2

В продукте нет встроенной функции, которая бы делала то, о чем вы просите. Я предполагаю, что вы имеете в виду функцию «Принудительное использование истории паролей» и предполагаете, что вы хотели бы «задним числом» начать политику «Принудительное использование истории паролей», начиная с паролей, которые были установлены в указанную вами дату.

Если этот день был в течение последних 60 дней (по умолчанию, если вы не изменили время жизни надгробия в вашем AD), можно было бы выполнить полномочное восстановление поддерева (или всего) каталога из резервной копии, сделанной в указанную дату, а затем включить функцию «Принудительно использовать историю паролей» в это время. Поскольку дата, которую вы упоминаете, старше 60 дней, вы не можете восстановить резервную копию, по умолчанию, такого возраста.

Даже если у вас была дата в пределах разрешенного окна восстановления, я бы не рекомендовал этого делать. Вы потеряете все изменения, внесенные в восстановленные объекты между датой восстановления и текущей датой, для начала. Во-вторых, восстановление AD — это не тот процесс, к которому я бы отнесся легкомысленно. Я делал это раньше, много раз в лабораториях и, к счастью, всего несколько раз в производстве. Каждый раз, в производственном сценарии, это немного «белое кулака» — убедиться, что вы делаете именно то, что хотите (потому что любые внесенные вами изменения, когда они авторитетны для рынка, будут реплицироваться на все контроллеры домена в наборах репликации домена и глобального каталога). Я советую клиентам выполнять восстановление AD только тогда, когда это последний возможный вариант.

Answer

В продукте нет встроенной функции, которая бы делала то, о чем вы просите. Я предполагаю, что вы имеете в виду функцию «Принудительное использование истории паролей» и предполагаете, что вы хотели бы «задним числом» начать политику «Принудительное использование истории паролей», начиная с паролей, которые были установлены в указанную вами дату.

Если этот день был в течение последних 60 дней (по умолчанию, если вы не изменили время жизни надгробия в вашем AD), можно было бы выполнить полномочное восстановление поддерева (или всего) каталога из резервной копии, сделанной в указанную дату, а затем включить функцию «Принудительно использовать историю паролей» в это время. Поскольку дата, которую вы упоминаете, старше 60 дней, вы не можете восстановить резервную копию, по умолчанию, такого возраста.

Даже если у вас была дата в пределах разрешенного окна восстановления, я бы не рекомендовал этого делать. Вы потеряете все изменения, внесенные в восстановленные объекты между датой восстановления и текущей датой, для начала. Во-вторых, восстановление AD — это не тот процесс, к которому я бы отнесся легкомысленно. Я делал это раньше, много раз в лабораториях и, к счастью, всего несколько раз в производстве. Каждый раз, в производственном сценарии, это немного «белое кулака» — убедиться, что вы делаете именно то, что хотите (потому что любые внесенные вами изменения, когда они авторитетны для рынка, будут реплицироваться на все контроллеры домена в наборах репликации домена и глобального каталога). Я советую клиентам выполнять восстановление AD только тогда, когда это последний возможный вариант.

Сбросить историю паролей в Active Directory на определенную дату

решение1

решение2

Связанный контент