Active Directory Nova diretiva de senha - devo aguardar?

Navegue suas respostas
2

Vou impor uma nova política de senha em nosso domínio.

O principal problema que tenho é que devo aguardar o tempo máximo para o usuário alterar sua senha atual ou para impor a: mudança no próximo logon?

Tenho muitos usuários e, para escolher um por um, a alteração pode levar metade de um dia. mas aguardar o tempo máximo, pode levar 91 dias (conforme definido).

Eu pensei em definir o tempo máximo para 5 dias (por exemplo) e no 4º dia para mudar isso novamente para o 91 que eu quero, mas não tenho certeza de como saber se todos os usuários alteraram a senha naquele momento.

Idéias?

    
por Saariko 10.07.2011 / 10:33

3 respostas

3

Você já comunicou a nova política de senha aos seus usuários?

Se você sabe com certeza que todos sabem que haverá uma nova política e que eles terão que alterar suas senhas, não deverá haver problemas com a imposição de uma alteração no próximo logon.

No entanto, se você não tiver avisado seus usuários o suficiente, muitos deles serão pegos desprevenidos quando forem forçados a alterar sua senha no próximo logon, e você estará lidando bastante com o seguinte cenário:

  1. O usuário efetua login e vê que deve alterar sua senha.
  2. O usuário não se importa muito com a política de senhas, mas deseja muito verificar seu e-mail e, portanto, seleciona uma nova senha essencialmente aleatoriamente.
  3. O usuário esquece essa nova senha logo em seguida, não pode mais fazer login e pede ajuda para redefini-la.

Quanto a saber se um usuário alterou sua senha, o Active Directory armazena um pwdLastSet para cada usuário:

The date and time that the password for this account was last changed. This value is stored as a large integer that represents the number of 100 nanosecond intervals since January 1, 1601 (UTC). If this value is set to 0 and the User-Account-Control attribute does not contain the UF_DONT_EXPIRE_PASSWD flag, then the user must set the password at the next logon.

Você pode executar uma consulta no Active Directory para encontrar os usuários para quem pwdLastSet foi há mais de um par de dias e, em seguida, forçar apenas esses usuários a redefinir suas senhas.

Por fim, para definir o sinalizador "Deve alterar a senha no próximo logon" para vários usuários de uma vez, você pode usar dsmod : 

dsmod user <user_dn> -mustchpwd {yes|no}

Crie um arquivo de lote com o comando dsmod para cada usuário cujo pwdLastSet seja muito antigo e voila! Você tem seu mecanismo de imposição de política de senha.

    
por 10.07.2011 / 10:57
2

Configure sua política. Comunique a alteração aos seus usuários e informe a eles que, em determinado dia, a nova política entrará em vigor. O dia anterior - lembre-os. Em seguida, use um script como este visual basic para forçar os usuários a alterar a senha no próximo logon. 

Set objUser = GetObject _ 
    ("LDAP://CN=myerken,OU=management,DC=Fabrikam,DC=com") 

objUser.Put "pwdLastSet", 0 
objUser.SetInfo

Referência

    
por 10.07.2011 / 10:55
1

Isso é extremamente subjetivo. Isso se resume a alguns dos seguintes fatores:

  • Existe um evento que está gerando a mudança?
  • Com que rapidez a organização pode disseminar informações dessa natureza?
  • Quanta interrupção essa mudança pode causar com sua implementação vs. não implementação?
  • Qual suporte está disponível para apoiar a mudança?

É uma combinação da organização, por que a mudança é necessária e com que rapidez a mudança pode ser comunicada e implementada. Vai variar muito em cada organização diferente, bem como em suas situações específicas.

    
por 10.07.2011 / 10:56

Tags

Como posso configurar um registro MX para que * .mydomain.com aponte para meu servidor de e-mail, mas mydomain.com usará os aplicativos do Google? Existe uma maneira de descobrir quando uma pesquisa de DNS falha no seu sistema local?