У меня есть вопрос о разрешении Active Directory на смену пароля. Можно ли отозвать разрешение на смену пароля для пользователей из определенного OU?
Как мне выполнить эту задачу? Я знаю, что это можно сделать для определенной группы пользователей, но возможно ли это для пользователей в определенном OU?
ОБНОВЛЯТЬ
Спасибо за все ваши ответы. Они были очень полезны. К сожалению, я не могу проголосовать за эти ответы из-за моей низкой репутации ;)
95% пользователей находятся в OU, о которой я пишу. Я думаю об удалении разрешения на смену пароля из группы «Все» и создании группы для пользователей, которые смогут менять свои пароли. Проблема в том, что пользователи из этого OU находятся в другом приложении, и они должны менять свои пароли с помощью этого приложения, а не в AD. Пользователи, которые не находятся в этом OU, находятся только в AD, поэтому они могут менять свои пароли в AD.
Как вы думаете, это будет хорошим решением или возникнут проблемы?
Спасибо за помощь.
решение1
Ответы Джона Ренни и Сэма Когана (как метко выразился Джон) являются «хаками», поскольку они пытаются отключить пользовательский интерфейс для смены паролей, но на самом деле не лишают пользователя возможности менять свой пароль.
Я думаю, вы ищете изменение разрешений, которые Active Directory устанавливает по умолчанию для OU, где находятся учетные записи пользователей. Я собираюсь предостеречь вас от этого. Поскольку Microsoft уже предоставляет эту функциональность через атрибут для объектов учетных записей пользователей, действительно лучше использовать этот уже предоставленный атрибут, чем изменять разрешения AD. Вероятно, вы сможете найти разрешение, которое будет работать, и также вероятно, что ОС не будет отображать полезные сообщения.
Вам действительно следует просто использовать всех затронутых пользователей Active Directory Users and Computers и массово изменять свойства учетных записей пользователей. Ответ Dart функционально такой же, как выбор всех учетных записей пользователей и графическая установка для них "Пользователь не может изменить пароль". Если вам больше нравится командная строка, сделайте это.
Есть функционал, позволяющий сделать это с помощью "Расширенного права" с использованием разрешений Active Directory в Windows 2003. Я не нашел хорошей документации по этой функции. Вот некоторая предыстория "расширенных прав", связанных с изменением паролей, первая из которых относится к Active Directory "Application Mode" (или как там его называет Microsoft на этой неделе):
Я попытался проверить ответ Массимо, разместив разрешение "SELF - Deny - User Objects - Extended Right: Change Password" на OU в моем тестовом W2K3 Active Directory (Windows 2003 Domain Functional Level) и обнаружил, что объекты пользователя на уровне или ниже этого OU все еще могли менять свои пароли с помощью функциональности изменения пароля GUI. Глядя на каждый объект пользователя, я мог видеть унаследованное разрешение "Deny", но Active Directory, похоже, игнорировала его.
Простое удаление разрешения "SELF - Allow - Change Password" на объекте пользователя дало мне ту же функциональность, что и в приведенном выше тесте. Пользователю по-прежнему было разрешено менять свой пароль.
Исходя из этого, я бы сказал, что ответ Массимо также не соответствует вашим ожиданиям.
я нашелЭта статьяот Microsoft и протестировал его. Когда я нацеливаю скрипт на отдельный объект пользователя, он ведет себя так, как и хотелось бы, ипользователь не может изменить свой пароль. Однако это не поможет вам, поскольку вы хотите установить это для каждого OU.
Однако когда я нацеливаю этот скрипт от Microsoft на OU, поведение на более длительном этапе соответствует ожидаемому. (Кроме того, если я изменяю ACE, добавленные в OU, чтобы они применялись к «Этому объекту и дочерним объектам» вместо «Только к этому объекту», как это предусмотрено скриптом, поведениевсе ещене соответствует ожиданиям.)
Я действительно бьюсь головой об стену по этому поводу. Это похоже на причуду поведения Active Directory, которая не очень хорошо документирована. Я прошел через«Службы домена Active Directory»иСхема Active Directoryдокументацию и я не нахожу документации, описывающей это поведение.
решение2
Видетьhttp://support.microsoft.com/kb/324744
Однако учтите, что это своего рода хак. Он не мешает пользователям менять пароли, а просто удаляет возможность сделать это из диалогового окна ctrl-alt-del. Пользователи по-прежнему могут использовать командную строку для смены паролей.
Дж.Р.
решение3
Да, вы можете сделать это через групповую политику. Откройте редактор групповой политики для OU, которую вы хотите ограничить (щелкните правой кнопкой мыши OU, свойства, вкладка групповая политика). Создайте новую политику или отредактируйте существующую и перейдите к:
User Configuration -> Administrative Templates -> System
Здесь выберите Ctrl+Alt+Del Options, в правой панели включите опцию «Remove Change Password».
Закрыть редактор групповой политики. Чтобы убедиться, что он применен немедленно, откройте командную строку и выполните
gpupdate /target:user /force
решение4
Вы можете отменить разрешение на выполнение этих действий для конкретного пользователя, удалив (или явно запретив) «изменить пароль» из прав пользователя, назначенных «SELF».
Вам необходимо вручную отредактировать ACL на самом объекте пользователя; доступ к нему можно получить, включив расширенные функции в консоли «Пользователи и компьютеры Active Directory» (Вид -> Дополнительные функции), а затем открыв свойства пользователя и выбрав «Безопасность».