Implemente uma nova política de senha sem bloquear usuários

3

Plano de fundo : há anos que adotamos uma política de senhas do AD muito descontraída. Os usuários tiveram a senha 'nunca expira' definida e não estávamos reforçando a força nem nada. Agora, queremos corrigir isso e ativar os requisitos de senha strong no AD e definir senhas para expirar após 180 dias.

Nota lateral de importância, nosso sistema de e-mail é o Zimbra que autentica no AD via LDAP

Problema : não consigo descobrir uma maneira de forçar os usuários a alterarem a senha, mas deixem que eles continuem usando a senha atual por uma semana ou duas até que todos possam fazer login em um computador de domínio. Qualquer coisa que eu tente tem o efeito de bloquear os usuários assim que eu fizer isso. Então digamos que um gerente esteja em uma conferência esta semana e não voltará até a semana que vem. Ele para de receber e-mails em seu telefone assim que eu tento implementar a política até que ele volte ao escritório e faça o login novamente

Soluções tentadas :

  1. Desligue a senha nunca expira, ative 'o usuário deve alterar a senha no próximo logon.' O resultado é a senha atual tratada como expirada e o AD se recusa ao usuário de autenticação via ldap (nenhum email para esse usuário)

  2. Tente enganá-lo desativando 'senha nunca expira', definindo pwdLastSet como -1, o que faz a última alteração de senha hoje e, em seguida, 'usuário deve alterar a senha no próximo logon'. Resultado: pwdLastSet é definido como 0 [nunca] e a senha é considerada expirada e não autentica usuários

Existe alguma maneira de realizar o que estou tentando fazer?

    
por Brian Dial 14.01.2015 / 21:07

4 respostas

1

Quais são os seus níveis funcionais de domínio e floresta? Políticas de senhas refinadas parecem poder ser suas amigas aqui .

Você pode usá-los para excluir os usuários dos quais você precisa excluir o recebimento de políticas de senhas até que esteja pronto e / ou configurar scripts do PowerShell para [efetivamente] aplicar essas políticas aos usuários em um agendamento.

    
por 14.01.2015 / 21:32
0

Que tal apenas comunicar a mudança de política com um e-mail de notificação decente, definindo um período de carência razoável? Notifique algumas vezes, inclusive no último dia do período de carência. Você deve ser capaz de pegar a maioria das pessoas, com base nisso

Se for necessário aplicá-lo, após o período de carência, execute um script único contra todos os usuários que tenham uma data de 'última senha definida' antes da primeira notificação, para desativá-los ou forçar o sinalizador 'o usuário deve mudar no próximo logon'.

Caso contrário, você pode não apenas atualizar todos os campos 'senha nunca expira' sem verificar o 'deve mudar no próximo logon', e usar o pwdLastSet = -1 truque para redefinir a data no início do período de carência?

    
por 14.01.2015 / 21:32
0

Eu enviaria um e-mail para os usuários que não alteraram a senha dentro do limite e solicitam que altere sua senha até uma data específica, após o qual a Password Never Expires será desativada. Quando essa data chegar, remover senha nunca expira para usuários que alteraram sua senha. Repita até terminar.

    
por 14.01.2015 / 21:33
0

Pelo que entendi, você está procurando uma maneira de criar uma janela de tempo que forçaria apenas os usuários a fazer login em um computador, mas não em um telefone.
Não acho que seja possível, mas tenho vários pensamentos:

  1. Crie vários Objetos de Política de Senha (PSO) e aplique-os aos diferentes usuários de acordo com suas necessidades.
  2. Em todos os PSOs, defina a notificação para que os usuários recebam um aviso antecipado o suficiente sobre a expiração da senha (talvez até mesmo enviem um email), para que eles se lembrem de alterá-los no escritório.

A criação de um PSO só é possível no nível de domínio 2008, portanto, se esse não for seu nível de domínio, faça essas configurações na política principal (no GPO).

Como criar um PSO: link
link

    
por 14.01.2015 / 21:33