Wie implementiere ich eine fein abgestimmte Kennwortrichtlinie und erwarte, dass XP-Computer gut funktionieren?

Ich habe eine 2008 R2-Domäne auf Funktionsebene und bin gerade dabei, die erste tatsächliche Kennwortrichtlinie zu implementieren, die meine Organisation verwenden wird.

Um dies unseren Benutzern langsam zur Verfügung zu stellen, haben wir uns für eine fein abgestimmte Kennwortrichtlinie (FGPP) entschieden, die nur für bestimmte Benutzer unserer Wahl gilt. Zu diesem Zweck weisen wir diese Richtlinie einer Gruppe zu, die sie als Schattengruppe verwendet. Wir haben bereits den Prozess des Erstellens des PSO-Objekts durchlaufen und bestätigt, dass die neue Richtlinie nur für Benutzer innerhalb dieser Gruppe gilt. Sobald wir uns wohl fühlen, entfernen wir dieses PSO und verschieben die Kennwortrichtlinie in die Standarddomänenrichtlinie. Zum Glück konnte ich mit nur einer Richtlinie für alle Benutzer auskommen.

Von den rund 5.000 Desktops sind wir wahrscheinlich immer noch über 75% Windows XP. Bei unseren Tests haben wir festgestellt, dass dieses FGPP hervorragend funktioniert, wenn es für einen Benutzer in dieser neuen Gruppe gilt und dieser gezwungen ist, sein Kennwort zu ändern, während er sich bei einem Windows 7-PC anmeldet. Bei der Anmeldung an einem Windows XP-PC werden sie jedoch weiterhin gezwungen, ihr Kennwort zu ändern. Als Fehlermeldung wird jedoch die Richtlinie in der Standarddomänenrichtlinie verwendet. Wenn wir mit der Einführung beginnen würden, wären die Benutzer verwirrt, wenn sie ein Kennwort versuchen und eine Fehlermeldung erhalten, in der sie aufgefordert werden, ein anderes zu versuchen, wenn dies nicht den tatsächlichen Anforderungen entspricht.

Wie in diesem Technet-Artikel erwähnt , ist dies ein bekanntes Verhalten und es wird empfohlen, es zu ignorieren. Dies ist für uns nicht möglich. Wir können keine FGPPs verwenden, wenn dies auf Windows XP-PCs auftritt.

Wir haben darüber nachgedacht, das Attribut "Kennwort läuft nie ab" für alle Benutzer festzulegen und dann die Kennwortrichtlinie auf der Ebene der Standarddomänenrichtlinie zu implementieren. Wir möchten dies jedoch lieber nicht tun, da möglicherweise ein Massenchaos auftritt, wenn etwas schief geht.

Hat jemand schon einmal darauf gestoßen oder kann er Vorschläge machen? Ist diese Fehlermeldung irgendwo in der GINA? Kann es überhaupt geändert werden?

Dies ist beabsichtigt und im Code. In Windows XP wird die Standardkennwortfehlermeldung angezeigt, die die Kennworteinstellungen abdeckt, die Sie mit der Standarddomänenrichtlinie konfigurieren können.

Ab Vista erhalten Sie jetzt die Meldung "Das Kennwort kann nicht aktualisiert werden. Der für das neue Kennwort angegebene Wert entspricht nicht den Anforderungen für Länge, Komplexität oder Verlauf der Domäne." Microsoft hat es allgemeiner gestaltet, alle verschiedenen FGPP-Optionen abzudecken. Sie gingen nie zurück und änderten den Code in Windows XP. Daher wird die Meldung Standarddomänenrichtlinie für Kennwortrichtlinien angezeigt.

Wenn Sie es ändern möchten, müssen Sie einen benutzerdefinierten Anmelde-UI-Anbieter erstellen. Da Windows XP weniger als ein Jahr für den Support benötigt, ist es möglicherweise besser, nur die Mitarbeiter über das Problem zu schulen. Oder verbringen Sie die Zeit damit, den Rest der XP-Clients zu aktualisieren.