Alterando a política de expiração de senha na próxima alteração de senha

4

Temos uma política de senha com uma duração máxima de senha de 180 dias. Por vários motivos, precisamos alterá-lo para 90 dias, com um impacto mínimo para os usuários.

Nossos usuários normalmente são avisados sobre a próxima alteração de senha várias vezes antes. Se mudássemos o GPO hoje, aqueles que mudaram sua senha há mais de 90 dias seriam confrontados com uma solicitação imediata de alteração de senha, o que levaria a problemas. A solução óbvia seria enviar avisos informando que a expiração da senha será alterada em tal dia, de forma que eles sejam solicitados a alterar os dados antes desse dia para redefinir o contador e não serem afetados. A história e os estudos científicos mostraram que tais advertências são lidas, compreendidas e levadas em conta em 0,37% dos casos.

Outra possibilidade seria impor essa nova política em uma base por usuário somente após a próxima alteração de senha (voluntária ou forçada pela expiração). Se isso fosse apresentado hoje, a cobertura efetiva estaria em vigor após um máximo de 179 ou 180 dias (para aqueles que teriam mudado sua senha logo antes da modificação da política). Bom o suficiente.

Existe uma configuração adequada para essa mudança de política?

    
por WoJ 16.07.2014 / 10:36

1 resposta

4

Não existe tal coisa embutida. O que você pode fazer é:

Isso cuida de todos os usuários que alteraram sua senha nos últimos 76 dias (permite um período de aviso de 14 dias):

  • Crie um grupo no qual você aplica a política de 90 dias
  • Consultar AD para obter todos os usuários que alteraram a senha nos últimos 76 dias
  • Adicione-os ao grupo

Isso cuida do resto dos usuários:

  • Crie grupos em que você aplica políticas de senha mais altas, por exemplo, 10 dias cada? então, 90, 100, 110, 120, 130 e assim por diante.
  • Consultar AD para obter usuários onde a senha expira dentro desse intervalo de tempo (-14 dias)
  • Adicione os usuários aos grupos respectivos

Depois de concluir o ciclo (não deve demorar mais de 24 dias, se executado corretamente, por exemplo, 14 dias de carência e 10 dias "intervalo"), você pode definir a política de 90 dias como padrão e excluir os grupos / políticas refinadas.

Dessa forma, você concede aos usuários pelo menos 14 dias para alterar a senha usando os métodos e avisos "normais" do Windows. Além disso, outros usuários já têm a política correta aplicada

Observação: isso exige que o AD seja 2008+ para que políticas refinadas funcionem. Consulte este artigo do TechNet para obter detalhes

    
por 16.07.2014 / 11:51