Avatar billede clscableguy Praktikant
09. februar 2007 - 12:29 Der er 20 kommentarer

AD - User Cannot change

Hej

Er der en måde som jeg kan sætte en gruppe op til at kunne ændre
"User cannot change password" attribute i et AD?
Det skal kun være den attribut og ikke andre.

Hvis ja, hvordan?
Avatar billede screem_brille Novice
09. februar 2007 - 12:57 #1
mig bekendt nej. (ikke når det skal være SÅ specifikt)
Avatar billede Slettet bruger
09. februar 2007 - 20:16 #2
Hvad er formålet? Der kan måske findes et alternativ.
:-)
Avatar billede clscableguy Praktikant
10. februar 2007 - 12:02 #3
I et AD hvor der ikke er sat Strong Password Policy.

Og hvor man skal checke om brugerne laver et strong password ved password skift.

Der tænke jeg på at sætte User cannot change password og så lave f.eks et web interface, hvor jeg kan checke om det password brugeren ønske at skifte til er strong. Og så fjerne user cannot change password på brugeren og så skifte password. Derefter skal jeg jo så sætte user cannot change password igen.
Avatar billede screem_brille Novice
10. februar 2007 - 12:12 #4
hvorfor ikke bare angive i policyen at der skal bruges komplekse passwords, og en minimums længde i tegn ? det andet virker noget problematisk rent administrativt.
Avatar billede serverservice Praktikant
10. februar 2007 - 21:51 #5
jeg har også svært ved at se hvad du vil bruge det til medmindre det kun skal gælde for en bestemt gruppe brugere - da password pol tilhører dom policy og der kun kan være een pr. domain. er det ikke ok hvis alle anvender complex password?
Avatar billede clscableguy Praktikant
11. februar 2007 - 08:34 #6
Ja det skal kun være for en bestemt gruppe af brugere. Hvis så frem man sætte password pol på domain kommer det jo til at gælde alle bruger, og da vi nok snakker om mere end 1000 bruger som ikke har strong password vil det jo betyde en del.
Avatar billede serverservice Praktikant
11. februar 2007 - 14:27 #7
I det tilfælde ville det mest rigtige væer at oprette et subdomain til de brugere - er bare min mening.
Det andet med at forsøge at styre det manuelt med scripts og regfix tror jeg ikke vil holde i længden.
Avatar billede screem_brille Novice
11. februar 2007 - 14:38 #8
du kan da bare lave en OU med komplexe passwords, og en OU uden, det behøver ikke være på domain niveau at password policy er sat, det kan sagtens være på OU niveau.
Avatar billede clscableguy Praktikant
11. februar 2007 - 15:21 #9
screem bille>> okay, men hvor sætte jeg så at den skal bruge komplexe passwords i policy?
Avatar billede screem_brille Novice
11. februar 2007 - 15:35 #10
opret en ny OU, og lav en GPO hvor du angiver at der skal benyttes komplexe passwords (mener det er under user configuration, og password policy). og ald GPOén gælde for den OU kun.
Avatar billede serverservice Praktikant
11. februar 2007 - 15:41 #11
->Screem brille - Det er en af de grundlæggende ting der desværre ikke kan lade sig gøre.
Password pol. vil følge domain policien - altid - men forsøg bare så vi kan få bekræftet at det ikke er muligt, eller om der skulle være et workaround.
Avatar billede screem_brille Novice
11. februar 2007 - 15:47 #12
dannyboyd det kommer jo an på hvordan domain pol er, er den sat til maks sikkerhed, så ja (men mener nu man kan vælge at overliggende GPOér ikke skal nedarves)
Avatar billede serverservice Praktikant
11. februar 2007 - 16:25 #13
Nej jeg mener som sagt at password pol - følger domain policien og der kun kan laves een pr. domain. Det er grundlæggende for 2000/2003 server.
Derfor vil han være nødt til at sætte password pol. for alle - jeg kender ikke et workaround - men som udgangspunkt kan det ikke ændres.
Derfor ville eneste løsning være et subdomain - for at opnå 2 password policies - det er hvad jeg har forstået at clscableguy vil?

ok med debat og ok hvis der findes en alternativ løsning.
Avatar billede screem_brille Novice
11. februar 2007 - 16:30 #14
er absolut ikke enig ;)(man sætter selvfølgelig domain pol, til mindst komplex) og så sætter de mere komplexe krav på en underliggende ou (tester det om lidt, så vender tilbage med svaret snarest)
Avatar billede Slettet bruger
11. februar 2007 - 16:55 #15
Password policy virker KUN på domain level.
:-)
Avatar billede screem_brille Novice
11. februar 2007 - 17:27 #16
der må jeg jo så desværre sige at I har ret (det huer mig ellers ikke) ;)
Avatar billede Slettet bruger
11. februar 2007 - 17:30 #17
>clscableguy
Jeg kan se, udfra dine tidligere spørgsmål, at du kender til programering.
Dette kan måske hjælpe dig på vej:
http://support.microsoft.com/kb/305144
:-)
Avatar billede serverservice Praktikant
11. februar 2007 - 17:51 #18
->Screem brille - nej irriterende *s- og som sagt en grundlæggende ting i GPO som ikke bare kan ændres. ...Så duede min MCSE alligevel til noget...
Spændende link fra Tpo, takker.
Avatar billede strych9 Praktikant
15. februar 2007 - 20:00 #19
yesh, password policies. Det tværes der en del rundt i når man har den MCP test.
Mener også at PKI policies kun gælder på domain level, men resten skulle vist være på OU og site niveau også.
Avatar billede serverservice Praktikant
10. marts 2007 - 11:34 #20
Jeg tror ikke rigtigt der kommer en alternativ løsning til at oprette de 2 passwords policies. Og en løsning med at man skal oprette et komplekst password manuelt er lidt svær at kontrollere for admin.
Vi kunne evt- diskutere mit forslag med subdomain -derefter overføre kontoer, policies sec. templates - andre ting ?
Det var ikke for at forsvare min egen løsning , men kan ikke se der er andre muligheder som er anvendelige.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester