» Сброс паролей всем пользователям домена

Поставили задачу - с начала квартала сделать так, чтобы всем юзарям каждые три месяца приходилось принудительно менять пароль. КАК ЭТО СДЕЛАТЬ ?

Думали через групповую политику как - не нашли, через скрипт - тоже нет решения. Помогите ! Я так понимаю надо чтобы раз в 3 месяца всем ставилось "user must change password at next logon" - но как это сделать ?

Может есть еще какие варианты ?

zzzolegzzz
Default domain policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Maximum Password Age = (у меня равен 90 days)

Цитата:

Думали через групповую политику как - не нашли,

значит плохо искали %)
Политика безопасности домена -> Параметры безопасности -> Политика учётных записей -> Политика паролей -> Максимальный срок действия пароля
Domain Security Policy -> Security Settings -> Account Policies -> Password Policy -> Maximum password age
Ставь 90 дней.
Если нужно чтобы у всех в один день обновление происходило, то принудительно у всех пользователей однократно поставь смену пароля при логоне.

Добавлено:
опоздал чуток

Felix

Цитата:

Если нужно чтобы у всех в один день обновление происходило, то принудительно у всех пользователей однократно поставь смену пароля при логоне

Так мне это больше всего и надо ! Как принудительно у всех поставить эту галку ? У меня под 600 юзарей и втупую вручную это делать - не охота ...

Цитата:

Как принудительно у всех поставить эту галку

Возможно есть более красивое решение, но можно сделать просто: отмежаешь всех пользователей (мышью с зажатым шифтом) вызываешь свойства и ставишь одну могучую галку - смену пароля при след. логоне.

Добавлено:
А вообще можно поколупавшись в теме http://forum.ru-board.com/topic.cgi?forum=8&topic=1908#1
написать скрипт для этого.

Добавлено:
http://www.rallenhome.com/books/adcookbook/src/06.13-find_all_users--additional.vbs.txt
http://www.rallenhome.com/books/adcookbook/src/06.21-must_change_passwd.vbs.txt

Felix

Цитата:

но можно сделать просто: отмежаешь всех пользователей (мышью с зажатым шифтом) вызываешь свойства и ставишь одну могучую галку - смену пароля при след. логоне

У меня юзеры по контейнерам сидят - всех не выделишь ...

zzzolegzzz
Попробуй скриптами. Если до понедельника не сделаешь, то напиши в ПМ, попробую помочь.

Ну прямо мегапроблема :)


Код:
@echo off
rem скрипт заставляющий всех сменить пароли при следующем логоне.
dsquery user -limit 1000 > allusers.tmp
for /f "eol=: delims= tokens=1" %%a in (allusers.tmp) do (
dsmod user %%a -mustchpwd yes -canchpwd yes -pwdneverexpires no
)
del allusers.tmp
@echo Enjoy

locky
Это вы о чем? CMD? Тогда:

Цитата:

C:\>dsquery /?
"dsquery" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
C:\>dsmod /?
"dsmod" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

и т.д. Может другое что...
Где исполняется "скрипт"? На DC или workstation? Я так подозреваю, что конечно на workstation... Выражайтесь яснее, пожалуйста.

Добавлено:
bag

locky
dsquery - это же вроде для 2003 домена, а у меня - 2000 ...

Добавлено:
Описание dsquery - http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/46ba1426-43fd-4985-b429-cd53d3046f01.mspx

Кстати если использовать скрипт - то нет необходимости (практически) лезть в групповые политики, - по идее можно поставить скрипт в расписание и пусть он так работает ... имхо ...

1. Что думаете ?
2. Где-бы этот конечный скрипт взять ?

по порядку
2 Ici Chacal
1 - Это я именно о cmd.exe
2 - Не найти dsquery.exe и dsmod.exe? Эти файлы есть в вин2003сервер. "Стопудово"(c)
3 - Ничего другого, это минимум инструментов и усилий.
4 - скрипт (ЦМД'шник) исполняется где угодно в ДОМЕНЕ при достаточном количестве прав и наличии этих абсолютно никому неизвестных DS-инструментов. :) Встречный вопрос - а почему
Цитата:

конечно на workstation...

Почему не "конечно на сервере?" Этот скрипт заставляет всех юзеров ДОМЕНА сменить пароль приследующем логоне. Почему он должен выполняться на каком-то там воркстейшне, если ,как правильно отмечено, он может выполняться автоматом в 00:01 каждого первого числа каждого третьего месяца?
и наконец 5 - по поводу "яснее" т.е. писать коменты к каждой строке, ключу в строке и где брать стандартные инструменты? Какой вопрос - такой ответ.

2 zzzolegzzz
1 - а вот с этого надо было начинать. "телепаты в отпуске"(с)
2 - По поводу GP и планировщика - так точно! :) Я их (GP) еще толком не крутил, поэтому ИМХО чем меньше их трогаешь, тем ровнее всё работает.
3 - Написать самому. И встречный вопрос - куда еще более конечный (за исключением обработчика условий) чем двумя постами выше? ... в теории я могу написать не только условия, но и в шедулер из того же ЦМД'шника вставить, но... Данных мало и Вам сильно скучно будет. Для примера можно разобрать пару каких-ньть OU/CN и прилепить условия, но это сильно дольше и сильно неинтересно. Пишите - можно пробовать, но очень неспешно. locky_<at>mail<dot>ru

PS
1 - dsmod.exe проверено работает на win2000server rus.
2 - Cкрипту следует прилеприть обработчик условий, т.к. в данном варианте он заставит поменять пароли ВСЕХ включая всяко-разных админов и прочих сервисных юзеров.
3 - комплект dsadd, dsmod, dsquery, dsget и dsmove занимает 1Mb с мелочью ... итого - можно переслать почтой.

Ничего не понял. Спасибо.