Как уменьшить срок действия пароля для конкретных учеток в AD?

Question

[shupike]

Коллеги, добрый день! Возникла такая задачка - нужно определенным учеткам в AD снизить максимальный срок действия пароля (сейчас в политике по умолчанию он равен 180 дням). Эта политика применима не к пользователю, а к компьютеру, я так понимаю? Ну потому что путь к разделу Computer configuration->Windows settings->Security settings->Account policies->Password policy->Maximum password age=180 days. То есть нужно создать отдельный OU, туда загнать рабочие станции и создать для них отдельную политику? Заранее спасибо за советы :-)

Answer 1

[Роман Безруков]

Парольная политика - одна на весь домен (by design).
По просьбам трудящихся MS придумала костыль - Fine-Grained Password Policy (FGPP), применяется на группы пользователей
Доменные рабочие станции по умолчанию меняют пароль каждые 30 дней. Этот срок можно поменять в политике:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Maximum machine account password age

Answer 2

[Alexey Dmitriev]

Политики паролей компьютеров не связаны с политиками паролей пользователей.
Для изменения политик паролей пользователей нужны либо:
1. GPO с политикой паролей пользователей, примененная к OU c пользователями.
2. Fine-Grained Policy, примененная опять таки к пользователям или игруппе с пользователями.

Comments

[shupike]

Попробовал Fine-Grained Policy - применилось, но не пойму, как в GUI увидеть свойства этой политики. Вижу только, что она применена к конкретной учетке (группу пока не создавал), а свойства можно увидеть только через консоль после создания?