公司采用IBM的TIM系統建置了域使用者賬号密碼管理系統(通過IE浏覽器就可以通路的到,且沒有做SSO,在任何人的機器上都可使用此系統),為了能使使用者在修改時都能通過此系統進行更改,做了不少的工作。
在描述之前,聲明下,如果在DC機器上安裝TIM提供的密碼同步插件的話,以下所列問題均不存在。
進而引出我寫此文章的目的:如何通過組政策來取消密碼到期提示,以及轉由登陸腳本來實作(至于其他的妙用,你懂的!)
由于業務系統的存在,通常更改密碼的方式有以下幾種:
1、Citrix Web Service方式
2、Exchange OWA方式
3、通過Ctrl+Alt+Del三鍵組合
4、組政策作用下的過期前多少天更改
以上幾種方式,前兩種一般使用者使用的機會較少,甚至第三種方式也是如此。但第四種方式就是常見使用密碼更改的方式了。
要推行我們的密碼管理系統(下圖),那除了通過行政手段的強制外,就是采用技術手段了。
接下來就是描述如何實作通過技術手段的方式來限制使用者不能通過最後兩種方式進行密碼修改,并告知他們密碼修改的地方。
一、前兩種的修改密碼的方式,由于使用者較少,不采取手段進行限制。但需要通知到技術支援人員此種情況的存在(也可能是HelpDesk)。
二、很多公司,對密碼政策的管理是較嚴的,無論是普通賬号還是管理者賬号均有限制過期日期,以及密碼到期提示。
這些是通過組政策來控制的:
那在此步要做的,就是取消互動式登入:提示使用者在過期之前更改密碼。如此,使用者密碼将要到期之前(如14天)在登入域時,就不會收到提示啦。
但問題又來了,不提示,使用者就不知道什麼時間過期,以及如何更改密碼,怎麼辦?
下面就是解決方法:使用一個登入腳本,此腳本的内容就是檢查使用者密碼是否到期(也能查出永不過期的使用者賬号),以及提示此進行密碼修改的地方。