Plano de fundo : há anos que adotamos uma política de senhas do AD muito descontraída. Os usuários tiveram a senha 'nunca expira' definida e não estávamos reforçando a força nem nada. Agora, queremos corrigir isso e ativar os requisitos de senha strong no AD e definir senhas para expirar após 180 dias.
Nota lateral de importância, nosso sistema de e-mail é o Zimbra que autentica no AD via LDAP
Problema : não consigo descobrir uma maneira de forçar os usuários a alterarem a senha, mas deixem que eles continuem usando a senha atual por uma semana ou duas até que todos possam fazer login em um computador de domínio. Qualquer coisa que eu tente tem o efeito de bloquear os usuários assim que eu fizer isso. Então digamos que um gerente esteja em uma conferência esta semana e não voltará até a semana que vem. Ele para de receber e-mails em seu telefone assim que eu tento implementar a política até que ele volte ao escritório e faça o login novamente
Soluções tentadas :
Desligue a senha nunca expira, ative 'o usuário deve alterar a senha no próximo logon.' O resultado é a senha atual tratada como expirada e o AD se recusa ao usuário de autenticação via ldap (nenhum email para esse usuário)
Tente enganá-lo desativando 'senha nunca expira', definindo pwdLastSet como -1, o que faz a última alteração de senha hoje e, em seguida, 'usuário deve alterar a senha no próximo logon'. Resultado: pwdLastSet é definido como 0 [nunca] e a senha é considerada expirada e não autentica usuários
Existe alguma maneira de realizar o que estou tentando fazer?
Quais são os seus níveis funcionais de domínio e floresta? Políticas de senhas refinadas parecem poder ser suas amigas aqui .
Você pode usá-los para excluir os usuários dos quais você precisa excluir o recebimento de políticas de senhas até que esteja pronto e / ou configurar scripts do PowerShell para [efetivamente] aplicar essas políticas aos usuários em um agendamento.
Que tal apenas comunicar a mudança de política com um e-mail de notificação decente, definindo um período de carência razoável? Notifique algumas vezes, inclusive no último dia do período de carência. Você deve ser capaz de pegar a maioria das pessoas, com base nisso
Se for necessário aplicá-lo, após o período de carência, execute um script único contra todos os usuários que tenham uma data de 'última senha definida' antes da primeira notificação, para desativá-los ou forçar o sinalizador 'o usuário deve mudar no próximo logon'.
Caso contrário, você pode não apenas atualizar todos os campos 'senha nunca expira' sem verificar o 'deve mudar no próximo logon', e usar o pwdLastSet = -1 truque para redefinir a data no início do período de carência?
Eu enviaria um e-mail para os usuários que não alteraram a senha dentro do limite e solicitam que altere sua senha até uma data específica, após o qual a Password Never Expires será desativada. Quando essa data chegar, remover senha nunca expira para usuários que alteraram sua senha. Repita até terminar.
Pelo que entendi, você está procurando uma maneira de criar uma janela de tempo que forçaria apenas os usuários a fazer login em um computador, mas não em um telefone.
Não acho que seja possível, mas tenho vários pensamentos:
A criação de um PSO só é possível no nível de domínio 2008, portanto, se esse não for seu nível de domínio, faça essas configurações na política principal (no GPO).
Tags password active-directory