В. Как исключить учетные записи пользователей из политики паролей домена и можно ли лишить тех же пользователей прав "читать и применять", назначаемых в политике домена?
О. Нет. . Измененный пароль пересылается в DC в защищенном сеансе. DC получает нехешированный и незашифрованный пароль и выясняет, какие правила следует применить.
Этот процесс отличается от типичной регистрации с паролем, когда пароли пользователей хешируются с помощью однонаправленного алгоритма на рабочей станции и пересылаются в DC. Пользователи могут назначать пароли до введения политики паролей; затем можно установить неограниченный срок действия паролей. В результате пользователи будут назначать простые пароли, но могут никогда не менять их; это не самое удачное решение.
Назначить различные политики паролей для разных пользователей можно тремя способами:
-
Разместить пользователей, которые нуждаются в особой политике паролей, в отдельном дочернем домене. Такой метод связан со значительной избыточностью инфраструктуры.
-
В Windows Server 2008 можно использовать детальные политики паролей. Домен должен функционировать в режиме Server 2008, так как только контроллеры домена Server 2008 поддерживают детальные политики паролей.
-
Использовать сторонний модуль расширения, чтобы применить несколько политик пароля внутри домена. Подходящие программы: Specops Password Policy (www.specopssoft.com/products/specopspasswordpolicy/) компании Special Operations Software и nFront Password Filter (nfrontsecurity.com/products/nfront-password-filter/) компании nFrontSecurity.