Приоретет пароля и сертификата — что выше?

Question

[IrkDesigner]

В домене (все на Windows2008) развернут центр сертификации, часть пользователей заходят в систему с использованием eToken, часть по паролю.
Также в домене есть парольная политика, заставляющая пользователей менять пароль через определенное время.
Эта политика действует и на пользователей с eToken. Пароль действует 30 дней, сертификат пользователя один год. Раз в 30 дней у пользователей eToken после ввода пин-кода высвечивается табличка «пароль должен быть изменен» и система заставляет пользователя изменить доменный пароль.
Отсюда возникает вопрос — можно ли сделать токен приоритетные пароля без отмены политики смены пароля? Чтобы пользователь мог заходить с использованием токена и просроченным паролем, получать доступ к сетевым ресурсам и т.д?
Или это не возможно в принципе, и придется пользоваться свойством «Password newer expiried» в профилях пользователей?
Спасибо за внимание.

Answer 1

[ntkt]

Осторожно, одичавший костыль: перед просрочкой автоматически сбрасывать доменный пароль у юзеров с eToken на случайный и нигде не сохраняемый.
serverfault.com/questions/207115/how-do-i-bulk-reset-passwords-for-all-users-in-an-ou
Если юзеру надо будет срочно зайти под доменным паролем, придется ему его еще раз сбросить на известный.

Comments

[IrkDesigner]

Действительно костыль:) Но спасибо за поиски, еще немного подумаю, если ничего лучше нет- возьму на вооружение.