Como eu implemento uma política de senha refinada e espero que as máquinas XP sejam legais?

7

Eu tenho um domínio de nível funcional 2008 R2 e estou no meio da implementação da primeira política de senha real que minha organização usará.

Para desenvolver isso lentamente para nossos usuários, optamos por usar uma política de senha refinada (FGPP) para aplicar apenas a determinados usuários de nossa escolha. Para fazer isso, estamos atribuindo essa política a um grupo usando-a como um grupo de sombra. Já passamos pelo processo de criação do objeto PSO e a confirmação da nova política se aplica apenas aos usuários dentro desse grupo. Quando nos sentirmos confortáveis, removeremos esse PSO e moveremos a política de senha para a Política de Domínio Padrão. Felizmente, consegui usar apenas uma política para todos os usuários.

Dos cerca de 5.000 desktops, provavelmente ainda estamos com mais de 75% do Windows XP. Em nossos testes, descobrimos que, se esse FGPP se aplica a um usuário desse novo grupo e eles são forçados a alterar sua senha ao fazer login em um computador com Windows 7, ele funciona muito bem. No entanto, ao entrar em um PC com Windows XP, ele ainda os obriga a alterar sua senha, mas como uma mensagem de erro usa a política na Diretiva de Domínio Padrão. Se fôssemos começar a fazer isso, os usuários ficariam confusos quando tentassem uma senha e recebessem uma mensagem de erro dizendo-lhes para tentar outra quando esses não fossem os requisitos reais.

Conforme mencionado neste artigo da Technet , ele diz que esse é um comportamento conhecido e recomendo ignorá-lo. Isso não é possível para nós. Não podemos usar FGPPs se isso ocorrer em PCs com Windows XP.

Pensamos em definir o atributo "senha nunca expira" a todos os usuários e, em seguida, implementar a política de senha no nível da Diretiva de Domínio Padrão, mas preferimos não fazê-lo devido ao possível caos em massa se algo desse errado. .

Alguém já se deparou com isso antes ou pode oferecer alguma sugestão? Esta mensagem de erro está no GINA em algum lugar? Pode ser modificado?

    
por Adam Bertram 19.04.2013 / 20:58

1 resposta

4

Isso ocorre por design e no código. No Windows XP, você receberia a mensagem de erro de senha padrão, que abrangia as configurações de senha que você pode configurar com a Diretiva de Domínio Padrão.

A partir do Vista, você recebe "Impossível atualizar a senha. O valor fornecido para a nova senha não atende aos requisitos de tamanho, complexidade ou histórico do domínio." A Microsoft tornou mais genérico para cobrir todas as diferentes opções do FGPP que existem. Eles nunca voltaram e mudaram o código no Windows XP. Portanto, você vê a mensagem Política de Domínio Padrão da política de senha.

Se você quisesse alterá-lo, teria de criar um provedor de UI de logon personalizado. No entanto, como o Windows XP tem menos de um ano de suporte, talvez seja melhor treinar a equipe sobre o problema. Ou passe o tempo atualizando o restante dos clientes XP.

    
por 19.04.2013 / 22:25