Как можно изменить максимальный срок действия пароля для определенных учетных записей в Active Directory, если в политике по умолчанию этот срок равен 180 дням? Необходимо ли создать отдельную организационную единицу (OU) для рабочих станций и настроить для них отдельную политику в разделе Computer configuration->Windows settings->Security settings->Account policies->Password policy->Maximum password age=180 days, поскольку эта политика применяется к компьютерам, а не к пользователям? Буду благодарен за рекомендации.
Для изменения срока действия пароля для определенных учетных записей в Active Directory можно использовать управление Group Policy в Active Directory. Вам не обязательно создавать отдельную OU для рабочих станций, можно просто создать новую Group Policy объект (GPO) и применить его к выбранным учетным записям. Чтобы изменить максимальный срок действия пароля для выбранных учетных записей, выполните следующие шаги: 1. Откройте Group Policy Management Console (GPMC) на контроллере домена. 2. Создайте новый GPO или отредактируйте существующий, который будет использоваться для изменения срока действия пароля. 3. Перейдите в раздел Computer configuration -> Windows settings -> Security settings -> Account policies -> Password policy. 4. Найдите параметр "Maximum password age" и установите необходимое количество дней для срока действия пароля. 5. Примените изменения к выбранным учетным записям, добавив их в соответствующие группы безопасности или установив фильтр безопасности для применения GPO только к определенным пользователям. После этого новая политика по сроку действия пароля будет применяться только к выбранным учетным записям, без необходимости создания отдельной OU для рабочих станций. Не забудьте также протестировать изменения перед их широким внедрением в среде Active Directory.
Парольная политика - одна на весь домен (by design). <br/> По просьбам трудящихся MS придумала костыль - Fine-Grained Password Policy (FGPP), применяется на группы пользователей <br/> Доменные рабочие станции по умолчанию меняют пароль каждые <a href="https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age" rel="nofollow">30 дней</a> . Этот срок можно поменять в политике: <pre><code>Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Maximum machine account password age</code></pre>
Политики паролей компьютеров не связаны с политиками паролей пользователей. <br/> Для изменения политик паролей пользователей нужны либо: <br/> 1. GPO с политикой паролей пользователей, примененная к OU c пользователями. <br/> 2. Fine-Grained Policy, примененная опять таки к пользователям или игруппе с пользователями.