Ich habe eine 2008 R2-Domäne auf Funktionsebene und bin gerade dabei, die erste tatsächliche Kennwortrichtlinie zu implementieren, die meine Organisation verwenden wird.
Um dies unseren Benutzern langsam zur Verfügung zu stellen, haben wir uns für eine fein abgestimmte Kennwortrichtlinie (FGPP) entschieden, die nur für bestimmte Benutzer unserer Wahl gilt. Zu diesem Zweck weisen wir diese Richtlinie einer Gruppe zu, die sie als Schattengruppe verwendet. Wir haben bereits den Prozess des Erstellens des PSO-Objekts durchlaufen und bestätigt, dass die neue Richtlinie nur für Benutzer innerhalb dieser Gruppe gilt. Sobald wir uns wohl fühlen, entfernen wir dieses PSO und verschieben die Kennwortrichtlinie in die Standarddomänenrichtlinie. Zum Glück konnte ich mit nur einer Richtlinie für alle Benutzer auskommen.
Von den rund 5.000 Desktops sind wir wahrscheinlich immer noch über 75% Windows XP. Bei unseren Tests haben wir festgestellt, dass dieses FGPP hervorragend funktioniert, wenn es für einen Benutzer in dieser neuen Gruppe gilt und dieser gezwungen ist, sein Kennwort zu ändern, während er sich bei einem Windows 7-PC anmeldet. Bei der Anmeldung an einem Windows XP-PC werden sie jedoch weiterhin gezwungen, ihr Kennwort zu ändern. Als Fehlermeldung wird jedoch die Richtlinie in der Standarddomänenrichtlinie verwendet. Wenn wir mit der Einführung beginnen würden, wären die Benutzer verwirrt, wenn sie ein Kennwort versuchen und eine Fehlermeldung erhalten, in der sie aufgefordert werden, ein anderes zu versuchen, wenn dies nicht den tatsächlichen Anforderungen entspricht.
Wie in diesem Technet-Artikel erwähnt , ist dies ein bekanntes Verhalten und es wird empfohlen, es zu ignorieren. Dies ist für uns nicht möglich. Wir können keine FGPPs verwenden, wenn dies auf Windows XP-PCs auftritt.
Wir haben darüber nachgedacht, das Attribut "Kennwort läuft nie ab" für alle Benutzer festzulegen und dann die Kennwortrichtlinie auf der Ebene der Standarddomänenrichtlinie zu implementieren. Wir möchten dies jedoch lieber nicht tun, da möglicherweise ein Massenchaos auftritt, wenn etwas schief geht.
Hat jemand schon einmal darauf gestoßen oder kann er Vorschläge machen? Ist diese Fehlermeldung irgendwo in der GINA? Kann es überhaupt geändert werden?