公司采用IBM的TIM系统建置了域用户账号密码管理系统(通过IE浏览器就可以访问的到,且没有做SSO,在任何人的机器上都可使用此系统),为了能使用户在修改时都能通过此系统进行更改,做了不少的工作。

在描述之前,声明下,如果在DC机器上安装TIM提供的密码同步插件的话,以下所列问题均不存在。

从而引出我写此文章的目的:如何通过组策略来取消密码到期提示,以及转由登陆脚本来实现(至于其他的妙用,你懂的!)

由于业务系统的存在,通常更改密码的方式有以下几种:

1、Citrix Web Service方式

2、Exchange OWA方式

3、通过Ctrl+Alt+Del三键组合

4、组策略作用下的过期前多少天更改

以上几种方式,前两种一般用户使用的机会较少,甚至第三种方式也是如此。但第四种方式就是常见使用密码更改的方式了。

要推行我们的密码管理系统(下图),那除了通过行政手段的强制外,就是采用技术手段了。

3

接下来就是描述如何实现通过技术手段的方式来限制用户不能通过最后两种方式进行密码修改,并告知他们密码修改的地方。

一、前两种的修改密码的方式,由于使用者较少,不采取手段进行限制。但需要通知到技术支持人员此种情况的存在(也可能是HelpDesk)。

二、很多公司,对密码策略的管理是较严的,无论是普通账号还是管理员账号均有限制过期日期,以及密码到期提示。

       这些是通过组策略来控制的:

      12

那在此步要做的,就是取消交互式登录:提示用户在过期之前更改密码。如此,用户密码将要到期之前(如14天)在登录域时,就不会收到提示啦。

但问题又来了,不提示,用户就不知道什么时间过期,以及如何更改密码,怎么办?

下面就是解决方法:使用一个登录脚本,此脚本的内容就是检查用户密码是否到期(也能查出永不过期的用户账号),以及提示此进行密码修改的地方。

密码到期修改提示图2

 

到此,就完成了本篇文章,有点乱,好久没有写了,利用中午的时间写上一篇,不容易啊。午休一会,午休一会。