Ada*_*ram 7 active-directory password-policy
我有一个 2008 R2 功能级别域,并且正在实施我的组织将要使用的第一个实际密码策略。
为了慢慢向我们的用户推广,我们选择使用细粒度密码策略 (FGPP) 仅适用于我们选择的某些用户。为此,我们将此策略分配给一个将其用作影子组的组。我们已经完成了创建 PSO 对象并确认新策略仅适用于该组内的用户的过程。一旦我们感到舒服,我们将删除此 PSO 并将密码策略移至默认域策略。幸运的是,我能够为所有用户只使用一种策略。
在大约 5,000 个桌面中,我们可能仍然有超过 75% 的 Windows XP。在我们的测试中,我们发现如果此 FGPP 适用于这个新组中的用户,并且他们在登录 Windows 7 PC 时被迫更改密码,则效果很好。但是,当登录到 Windows XP PC 时,它仍然会强制他们更改密码,但作为错误消息使用默认域策略中的策略。如果我们开始推出此功能,一旦用户尝试密码并收到一条错误消息,告诉他们在这些不是实际要求时尝试另一个密码,他们就会感到困惑。
正如这篇Technet 文章中所提到的,它说这是一种已知行为,建议忽略它。这对我们来说是不可能的。如果出现在 Windows XP PC 上,我们将无法使用 FGPP。
我们曾考虑为所有用户设置“密码永不过期”属性,然后在默认域策略级别实施密码策略,但我们宁愿不这样做,因为如果出现问题,可能会出现大规模混乱。
有没有人以前遇到过这个问题或可以提供任何建议?这个错误信息在 GINA 的某个地方吗?完全可以修改吗?
小智 4
这是设计使然,并且在代码中。在 Windows XP 中,您将收到默认密码错误消息,其中涵盖了您可以使用默认域策略配置的密码设置。
从 Vista 开始,您现在会收到“无法更新密码。为新密码提供的值不符合域的长度、复杂性或历史记录要求。” Microsoft 使其更加通用,以涵盖所有不同的 FGPP 选项。他们再也没有回去更改 Windows XP 中的代码。这就是为什么您会看到密码策略“默认域策略”消息。
如果您确实想更改它,则必须创建自定义登录 UI 提供程序。然而,由于 Windows XP 的支持时间缩短到了不到一年,因此您最好只对员工进行有关该问题的培训。或者花时间升级其余的 XP 客户端。
| 归档时间: |
|
| 查看次数: |
724 次 |
| 最近记录: |