Заставить пользователя Windows 7 сменить пароль после истечения срока его действия

5428
Windos

Можно ли заставить пользователей (на ПК с Windows 7) сменить пароль после истечения срока его действия?

В настоящее время наши пользователи получают уведомления о том, что срок действия их паролей истекает через 7, 3, 2 и 1 день, но после истечения срока действия пароля они все еще могут войти на свои машины с истекшим паролем.

Большинство наших пользователей игнорируют предупреждения и не меняют свой пароль, пока мы не скажем им, что они должны (когда они звонят в службу поддержки, спрашивая, почему их электронная почта и интранет не работают).

Из памяти машины Windows XP при входе в систему отображали сообщение о том, что срок действия пароля истек, а затем предлагали экран смены пароля. Можно ли сделать то же самое под Win7? Аналогично тому, как если вы установите учетную запись пользователя «необходимо сменить пароль при следующем входе в систему», она автоматически откроет экран смены пароля.

2
Вы используете активный каталог? Его довольно легко настроить с помощью AD. Zac Garrett 13 лет назад 0
Да, на сервере 2008 R2 Windos 13 лет назад 0
Любой совет о том, как? В настоящее время AD обрабатывает учетные записи пользователей, пароли, срок действия пароля, доступ к системам. Но сами машины по-прежнему позволяют пользователям входить в систему с просроченным паролем (если они вошли в него до истечения срока его действия - как ... когда это повседневная машина пользователя). Windos 13 лет назад 0
Если вы не возражаете, я спрашиваю ... какова цель заставить их периодически менять свои пароли? От какого сценария это защищает? Kyralessa 13 лет назад 0
В первую очередь, требования аудита. Второе и несколько связанное с первым пунктом; Это огромная дыра в безопасности, если у кого-то есть пароль, и если его заставляют сменить, то пароль будет действителен в течение максимум 42 дней. Мы находимся в средней корпоративной среде, к вашему сведению. Windos 13 лет назад 0
«Эй, смотри, украденный пароль. Эх, я сижу на нем пару месяцев, прежде чем использовать его. Не торопитесь». Kyralessa 11 лет назад 0
@Kyralessa Для аутентификации имя пользователя и хешированная версия пароля передаются по сети. Так что кто-то может захватить эту информацию. Из-за используемого алгоритма хеширования разумно предположить, что действительный ввод для хэша пароля может быть вычислен в течение 90 дней. Поэтому пароли необходимо менять через равные промежутки времени. Der Hochstapler 10 лет назад 0
Несмотря на то, что это стоит (не так много, поскольку это действительно не помогает), я никогда не видел такого поведения в среде активного каталога. С 2000 года AD до 2012 R2 и, по крайней мере, с Windows XP до Windows 10, пароль с истекшим сроком действия всегда приводил к автоматическому изменению пароля при следующем входе в систему. Я проверил групповую политику и даже не могу найти способ отключить это поведение. Это буквально смысл существования конфигурации «expiration» - периодически менять пароль. Dawn Benton 8 лет назад 0
Единственное, о чем я могу подумать, и это очень тонко, может быть, просто быстро проверить, работает ли репликация между несколькими контроллерами домена. Я предполагаю, что возможно, что когда срок действия пароля истечет, будет установлен флаг принудительной смены пароля, но, возможно, он не будет реплицирован на контроллер домена, который аутентифицирует пользователя? Это действительно единственное, о чем я могу думать, и это тонкое предположение. Dawn Benton 8 лет назад 0

2 ответа на вопрос

2
Windos

Мы до сих пор не выяснили, как заставить пользователя сменить пароль.

Поскольку основная проблема заключается в том, что пользователи игнорируют маленькие пузырьки «Ваш пароль истекает через ...» и «Срок действия вашего пароля истек», при входе в систему запускается скрипт, который проверяет, истек ли срок действия пароля, и блокирует экран (с инструкциями по как сменить пароль) если это так.

Это значительно сократило количество звонков, которые мы получаем по поводу невозможности доступа к электронной почте или интранету.

Windos, у вас случайно не было копии сценария, который вы использовали? 12 лет назад 0
@ Джон, к сожалению, нет. Я был не тот, кто написал это, и человек, который сделал это, все еще в отпуске. Windos 12 лет назад 0
-1
Arnaud Nouard

Попробуйте этот метод:

  1. Щелкните правой кнопкой мыши нужную учетную запись пользователя в Active Directory - пользователи и компьютеры.
  2. В окне «Свойства учетной записи» перейдите на вкладку «Учетная запись».
  3. Установите флажок «Пользователь должен изменить пароль при следующем входе в систему» ​​и снимите флажок «Пароль никогда не истекает».
Прекрасно, если мы маленький сайт и активно проверяем каждого пользователя, чтобы узнать, не истек ли срок его аккаунта. К сожалению, у нас более 500 мест, и нам нужен был способ обеспечения того, чтобы OS / AD заставляла пользователей менять свои пароли в соответствующее время, а не просто позволяла ему истечь, но все еще использовалась, несмотря на ограниченный доступ к сети, который им предоставляется. Windos 10 лет назад 0
Запустите эту команду Powershell, и вы сможете заставить всех пользователей вашего домена в подразделении изменить пароль: Get-ADUser -Filter * -SearchBase «OU = IT, DC = corp, DC = top-password, DC = com» | Set-ADUser -ChangePasswordAtLogon: $ true Arnaud Nouard 10 лет назад 0

Похожие вопросы