次のパスワード変更時にパスワードの有効期限ポリシーを変更する
パスワードの有効期限は最大180日です。さまざまな理由から、ユーザーへの影響を最小限に抑えて、90日に変更する必要があります。
私たちのユーザーは通常、数回前にパスワードの変更について警告されます。今日GPOを変更した場合、90日以上前にパスワードを変更した人は、すぐにパスワード変更要求に直面し、問題が発生します。明らかな解決策は、警告を送信することです。パスワードの有効期限はその日に変更されるため、カウンターをリセットして影響を受けないように、その日より前にパスワードの有効期限を変更する必要があることを伝えます。歴史と科学的研究によると、このような警告は読み取られ、理解され、実行されます。ケースの0.37%で考慮に入れます。
もう1つの可能性は、次のパスワード変更(自発的または有効期限によって強制される)の後でのみ、ユーザーごとにこの新しいポリシーを適用することです。それが本日導入された場合、有効な補償範囲は最大179日または180日後に適用されます(ポリシー変更の直前にパスワードを変更した場合)。十分です。
そのようなポリシー変更に適した設定はありますか?
そのようなものは組み込まれていません。あなたができることは:
これにより、過去76日以内にパスワードを変更したすべてのユーザーが処理されます(14日間の警告期間が可能です)。
- 90日間のポリシーを適用するグループを作成します
- ADにクエリを実行して、過去76日間にパスワードを変更したすべてのユーザーを取得します
- それらをグループに追加します
これにより、残りのユーザーが処理されます。
- より高いパスワードポリシーを適用するグループを作成します。それぞれ10日?つまり、90、100、110、120、130などです。
- ADにクエリを実行して、その時間範囲(-14日)内にパスワードの有効期限が切れるユーザーを取得します
- ユーザーをそれぞれのグループに追加します
サイクルが完了したら(適切に実行された場合、24日以上かかることはありません。たとえば、14日間の猶予期間と10日間の「ギャップ」)、90日間のポリシーをデフォルトとして設定し、グループ/きめ細かいポリシーを削除できます。 。
このようにして、「通常の」Windowsの方法と警告を使用してパスワードを変更するために少なくとも14日をユーザーに与えます。また、他のユーザーにはすでに正しいポリシーが適用されています
注:これには、きめ細かいポリシーが機能するためにADが2008+である必要があります。詳細については、 このTechNet記事 を参照してください。