Active Directory - informacje o wygasającym haśle

Wymuszenie okresowych zmian haseł często spotyka się ze sprzeciwem użytkowników i pytaniami dlaczego tak często i kiedy przypada następna zmian hasła. Zgodnie z tematem dzisiejszego wpisu przyjrzę się bliżej odpowiedzi na drugie pytanie…

Informację o dokładnym terminie wygasania hasła możemy uzyskać na dwa sposoby (tyle znam):

​1. rejestrując bibliotekę  acctinfo.dll:

regsvr32 acctinfo.dll

w odpowiedzi w panelu Active Directory Users and Computers, we właściwościach obiektu użytkownika otrzymamy dodatkową zakładkę Additional Account Info, gdzie znajdziemy m.in. informację o wygasającym koncie. Rozwiązanie działa pod konsolą systemu Windows 2003 lub/i przy zainstalowanym dodatku: Windows Server 2003 Resource Kit Tools

2.  prościej korzystając z polecenia:

net user /domain <nazwa_uzytkownika>

Możemy również ułatwić życie użytkownikom przypominając im z pewnym wyprzedzenie o wygasającym haśle np. 14 dni, aby to zrobić należy z poziomu zasad grupy z węzła Local Policies/Security Options:

Interactive logon: Prompt user to change password before expiration

ustalić zadany limit.

W przypadku, korzystania z kont domenowym do logowania się na maszynach *nix przy pomocy winbind’a, możemy ustawić limit przypomnienia o zmianie hasła w parametrach modułu pam_winbind:

warn_pwd_expire

wartość tego parametru domyślnie to 14 dni, zmianę możemy przeprowadzić w /etc/security/pam_winbind.conf (systemy redhatopodobne).