サーバー管理ゲームは初めてです。パスワードに関する最初のグループポリシーをプッシュしようとしています。
簡単なことをします。 MSの組み込みの複雑さの要件と6か月程度の最長有効期間を使用します。
クイックバックグラウンド。私はこの会社がIT部門にいる最初の人です。私はすべてを理解して解決しようとしています。ユーザーの半分(約150人)は、Active Directoryのユーザープロパティで[パスワードを無期限にする]をオンにしているようです。
パスワードにグループポリシーを使用すると、GPはADユーザープロパティの設定よりも優先されますか?
そうでない場合。 ADを通過して、パスワードの変更を強制したいすべてのアカウントのチェックを外しますか?
前もって感謝します。必要な情報がもうあればお知らせください。
「パスワードは期限切れになりません」を有効にすると、グループポリシーで構成したパスワードの有効期限ポリシーが上書きされます。
ただし、dsa.msc
を使用しなくても、この設定をより速く構成できます。 「パスワードを無期限にする」が設定されているすべてのユーザーアカウントを一覧表示するには:
dsquery * -filter "(&(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=65536))" -limit 0
これらのユーザーの設定を無効にするには:
dsquery * -filter "(&(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=65536))" -limit 0 | dsmod user -pwdneverexpires no
ADで「パスワードを無期限にする」が設定されている場合、グループポリシーによってパスワードの変更が強制されることはありません。 GPの他のすべてがアカウントに適用されます。
全員のアカウントのチェックを外す代わりに、OUで複数のユーザー(またはすべてのユーザー)を選択し、プロパティを1回編集して、パスワードの有効期限が切れていることを示すことで、プロパティの一括編集を行うことができます。