AD - User Cannot change

mig bekendt nej. (ikke når det skal være SÅ specifikt)

Hvad er formålet? Der kan måske findes et alternativ.
:-)

I et AD hvor der ikke er sat Strong Password Policy.

Og hvor man skal checke om brugerne laver et strong password ved password skift.

Der tænke jeg på at sætte User cannot change password og så lave f.eks et web interface, hvor jeg kan checke om det password brugeren ønske at skifte til er strong. Og så fjerne user cannot change password på brugeren og så skifte password. Derefter skal jeg jo så sætte user cannot change password igen.

hvorfor ikke bare angive i policyen at der skal bruges komplekse passwords, og en minimums længde i tegn ? det andet virker noget problematisk rent administrativt.

jeg har også svært ved at se hvad du vil bruge det til medmindre det kun skal gælde for en bestemt gruppe brugere - da password pol tilhører dom policy og der kun kan være een pr. domain. er det ikke ok hvis alle anvender complex password?

Ja det skal kun være for en bestemt gruppe af brugere. Hvis så frem man sætte password pol på domain kommer det jo til at gælde alle bruger, og da vi nok snakker om mere end 1000 bruger som ikke har strong password vil det jo betyde en del.

I det tilfælde ville det mest rigtige væer at oprette et subdomain til de brugere - er bare min mening.
Det andet med at forsøge at styre det manuelt med scripts og regfix tror jeg ikke vil holde i længden.

du kan da bare lave en OU med komplexe passwords, og en OU uden, det behøver ikke være på domain niveau at password policy er sat, det kan sagtens være på OU niveau.

screem bille>> okay, men hvor sætte jeg så at den skal bruge komplexe passwords i policy?

opret en ny OU, og lav en GPO hvor du angiver at der skal benyttes komplexe passwords (mener det er under user configuration, og password policy). og ald GPOén gælde for den OU kun.

->Screem brille - Det er en af de grundlæggende ting der desværre ikke kan lade sig gøre.
Password pol. vil følge domain policien - altid - men forsøg bare så vi kan få bekræftet at det ikke er muligt, eller om der skulle være et workaround.

dannyboyd det kommer jo an på hvordan domain pol er, er den sat til maks sikkerhed, så ja (men mener nu man kan vælge at overliggende GPOér ikke skal nedarves)

Nej jeg mener som sagt at password pol - følger domain policien og der kun kan laves een pr. domain. Det er grundlæggende for 2000/2003 server.
Derfor vil han være nødt til at sætte password pol. for alle - jeg kender ikke et workaround - men som udgangspunkt kan det ikke ændres.
Derfor ville eneste løsning være et subdomain - for at opnå 2 password policies - det er hvad jeg har forstået at clscableguy vil?

ok med debat og ok hvis der findes en alternativ løsning.

er absolut ikke enig ;)(man sætter selvfølgelig domain pol, til mindst komplex) og så sætter de mere komplexe krav på en underliggende ou (tester det om lidt, så vender tilbage med svaret snarest)

Password policy virker KUN på domain level.
:-)

der må jeg jo så desværre sige at I har ret (det huer mig ellers ikke) ;)

>clscableguy
Jeg kan se, udfra dine tidligere spørgsmål, at du kender til programering.
Dette kan måske hjælpe dig på vej:
http://support.microsoft.com/kb/305144
:-)

->Screem brille - nej irriterende *s- og som sagt en grundlæggende ting i GPO som ikke bare kan ændres. ...Så duede min MCSE alligevel til noget...
Spændende link fra Tpo, takker.

yesh, password policies. Det tværes der en del rundt i når man har den MCP test.
Mener også at PKI policies kun gælder på domain level, men resten skulle vist være på OU og site niveau også.

Jeg tror ikke rigtigt der kommer en alternativ løsning til at oprette de 2 passwords policies. Og en løsning med at man skal oprette et komplekst password manuelt er lidt svær at kontrollere for admin.
Vi kunne evt- diskutere mit forslag med subdomain -derefter overføre kontoer, policies sec. templates - andre ting ?
Det var ikke for at forsvare min egen løsning , men kan ikke se der er andre muligheder som er anvendelige.