Имеется функционирующая структура, AD+L2TP+IPSec+Mikrotik. Пользователи могут поднять VPN если у них есть еще действующий пароль. Допустим, установлена стандартная политика паролей, смена которых раз в 42 дня, доступ в инфраструктуру только через vpn, допустим такой сценарий: 1) пользователь забыл сменить пароль уходя на выходные, и в воскресенье его пароль теряет свой срок действия, 2) Удаленный пользователь который никогда не был в офисе (фрилансер к примеру), создал ему новую учетную запись и поставил в AD "требовать смены пароля при первом входе", естественно VPN не поднимается (проверял). Быть может есть какой обход или фича о которой я еще не нагуглил? Кроме как создавать временного пользователя на Mikrotik для доступа к инфраструктуре, чисто для смены пароля.
Для такого случая можно поднять AD Self Service...бесплатная штука если пользователей до 50чел.
Просроченный пароль будут менять самостоятельно через WEB. Есть вопросы по безопасности, но не всегда они стоят на первом месте.
Пользователь может удаленно поменять/обновить пароль через Exchange OWA или Remote Desktop Web Access, если они есть. Если нет, то увы.
Обходные решения: для пользователей, которые никогда не бывают в офисе можно сделать отдельную политику без необходимости регулярной смены паролей. Для пользователей, которые забывают сменить пароль перед выходными - есть много способов для улучшения памяти. Например, оставить без VPN до понедельника. :)
Дополнительно можно настроить рассылку уведомлений пользователям об истечении пароля. У нас это стало решением проблемы. За 10 дней до окончания срока действия пароля пользователю ежедневно начинает приходить письмо. Проще сменить пароль, чем 10 дней удалять этот "спам" из почтового ящика:)
Сложный
Сложный
