Windows 10 Срок действия пароля для отдельного пользователя

516
undrline

Это изменит политику паролей для всех существующих пользователей:

net accounts /maxpwage:30

Я хочу изменить политику паролей только для одного пользователя. Как я могу это сделать?

-1
Внешний поставщик злоупотребляет правами администратора, пока они у них есть, это не проблема. Мне объяснили причину: они работают в тандеме с повседневными делами, и у них есть целый ряд контрактов, чтобы держать их на месте. Согласен ли я, не имеет значения. Я отредактировал, чтобы сократить до моего существенного вопроса. undrline 6 лет назад 0
Находится ли компьютер в домене или нет домена? Twisty Impersonator 6 лет назад 0
@TwistyImpersonator, к нему можно получить удаленный доступ через такие инструменты, как teamviewer / logmein / etc ... каждый центр - это отдельная изолированная сеть, однако, я бы не стал использовать такие вещи, как ActiveDirectory. undrline 6 лет назад 0
Я не спрашиваю, есть ли у вас доступ к AD, но является ли устройство членом домена. Ответ существенно влияет на работу политик паролей. Twisty Impersonator 6 лет назад 0
@TwistyImpersonator, я вижу. У некоторых центров есть домен, а некоторые - просто рабочая группа. Так что да, то, что я делаю на локальной машине, потенциально может быть изменено с самого начала. undrline 6 лет назад 0
Обратите внимание, что это просто невозможно для пользователей, не входящих в домен. Это возможно только для пользователей домена, вошедших в компьютеры-члены домена. Это возможно для вас? Twisty Impersonator 6 лет назад 1
Я думаю, что «это просто невозможно для пользователей, не являющихся доменами» - технически ответ. Но между LPChip и вашим ответом, я думаю, что может быть обходной путь ... возможно ли было бы перебрать существующие профили, определить их текущие настройки для PasswordExpires (потому что я предполагаю, что значения за кулисами - True, False и не установить) и установить их? Затем можно установить `/ maxpwage`, зная, что учетные записи будут безопасно игнорировать мои глобальные локальные настройки. Домен не может быть и речи для меня. undrline 6 лет назад 0
Это зависит от того, можно ли настроить максимальный возраст pwd для каждой учетной записи. Насколько мне известно, это невозможно за пределами домена, но я никогда не пробовал, поэтому это возможно. Twisty Impersonator 6 лет назад 0
@TwistyImpersonator нет, его нельзя установить для каждого пользователя. Это глобальная обстановка. Простое правило: у вас есть общий набор правил, и AD расширяет их. Если AD не может этого сделать, это просто невозможно. LPChip 6 лет назад 0

1 ответ на вопрос

0
LPChip

Эта функция Password expiresработает только с политикой Password expires. Таким образом, вам также нужно установить это значение, которое действительно устанавливается для каждого пользователя, если только для пароля не истек срок действия. Но это только позволяет им сменить пароль после его истечения, а это не то, что вам нужно. Они также могут просто отредактировать своего пользователя и отключить его, если они хотят, учитывая, что они администратор на этом компьютере.

Вместо этого вы можете установить конечную дату для самой учетной записи, и в основном ее нельзя использовать после этой даты. К сожалению, эта функция является лишь частью пользователя домена, а не локальным пользователем, но это действительно лучший способ сделать это.

Альтернативой является создание сценария, который отключает пользователя, и настройка задачи с использованием планировщика задач для выполнения этого сценария в определенный момент времени. Это также имеет свои предостережения, поскольку они могут отключить его, если найдут его.

Если они получают доступ к машинам через RDP удаленно, проще всего настроить перенаправление 2-го порта на машины, вероятно, через 1 ПК с другим портом, тогда вы можете просто отключить этот перенаправитель портов

Я хотел бы отметить, что очень редко кому-либо действительно нужны разрешения администратора. Вы можете создать группу пользователей, которая может устанавливать программное обеспечение, вам не нужно буквально предоставлять полный доступ администратора третьим лицам. Если вы используете домен Active Directory, просто помните, что вы можете просто создать локальный профиль, который существует только на этом компьютере. Это предотвратит доступ локальной сети к вашей сети, при условии, что ваша конфигурация позволяет вам разрешать доступ только пользователям домена. Ramhound 6 лет назад 0
@Ramhound, если вы правильно настроили пользователя в Active Directory, вы также можете запретить сетевой доступ оттуда. Разница между локальным пользователем и пользователем домена заключается в том, что если вам нужно сделать это на 100 машинах, вам нужно посещать каждую машину для каждого изменения, тогда как с пользователем домена вы управляете всем централизованно, что вы обычно делаете хочу в этом случае. Что касается требования административных привилегий, это зависит от того, какие программы используют службу, и тогда вам действительно нужны административные привилегии. LPChip 6 лет назад 0
Я не видел, чтобы это были «удаленные машины», которые затрудняют использование локальной учетной записи. Мой комментарий был скорее о том, «действительно ли эта третья сторона нуждается в праве администратора, или они просто просят об этом», больше о мыслительной деятельности для автора. Ramhound 6 лет назад 0
@ Правильно. :) Я думаю, что ваш второй комментарий будет полезен здесь. :) LPChip 6 лет назад 0
@ LPChip хорошо сказал ... они используют сервис. Я использовал термин «программное обеспечение» очень свободно. Пожалуйста, смотрите мой комментарий выше о возможном обходном пути ... у PasswordExpires есть только два состояния, или это технически не установленное или нулевое состояние? Что такое по умолчанию? undrline 6 лет назад 0
Там нет по умолчанию. Когда вы делаете пользователя, вы должны установить, может ли срок действия пароля истек или нет. У него только 2 состояния. Ну, технически 3. Вы можете установить пароль с возможностью истечения срока действия для пользователя, но затем не настраивать политику, лежащую в основе этого, он не будет истек. Опция для каждого пользователя отсутствует, если вы не отключите опцию истечения срока действия пароля для всех остальных пользователей. Опять же, то, что вы хотите, должно быть сделано по-другому. LPChip 6 лет назад 0

Похожие вопросы