今天美国哪边的同事说,他们哪边的用户不能自行修改域用户的密码。了解了大半天的情况后,我想到了GPO(组策略),到微软找了找,找到了一个KB,可以实现Windows 2000/2003下如何使用组策略禁止用户修改密码,取消反之。具体的方法主要如下:
一.如何将站点、域或组织单元配置为更改密码时要求有系统提示 1. 通过使用“Microsoft 管理控制台”(MMC) 来启动“Active Directory 用户和计算机”管理单元。操作方法:单击 开始 ,单击 运行 ,键入 mmc ,然后单击 确定 。在 文件 菜单上,依次单击 添加/删除管理单元 、 添加 、 Active Directory 用户和计算机 、 添加 、 关闭 ,然后单击 确定 。现在,在控制台的左窗格中应该看到该管理单元。 2. 展开该管理单元,然后右键单击要对其实施新密码更改策略的域或组织单元,然后单击 属性 。 3. 单击 组策略 选项卡,单击要使用的“组策略对象”(GPO),然后单击 编辑 。如果在窗口中未列出现有策略,请单击 新建 以创建一个您可以为其选择名称的新策略,然后单击 编辑 。 4. 展开该策略,然后展开“用户配置”节点。展开“管理模板”节点,然后展开“系统”节点。 5. 单击 登录/注销 节点。 6. 右键单击 禁用更改密码 策略,然后单击 属性 。 7. 在 策略 选项卡上,单击 启用 选项,然后单击 确定 。 8. 关闭“组策略”窗口,然后退出“Active Directory 用户和计算机”控制台。 9. 在命令提示符下,键入 secedit /refreshpolicy user_policy /enforce ,然后按 ENTER 键以更新该策略。 备注 : 默认情况下,在域级别应用于用户或计算机的策略将会应用到该域中的所有用户和/或所有计算机。默认情况下,应用于组织单元的策略将会应用到驻留在该组织单 元以及可能存在的任何子组织单元中的所有用户帐户和/或计算机帐户。用户帐户必须移入该组织单元或在其中创建,才会应用策略。如果只是给组织单元添加用户 可能是其成员的安全组,将不会对该用户应用策略。
二.如何对一名或多名特定用户禁用“更改密码”按钮
必须在用户计算机上执行以下步骤: 1. 在命令提示符下,键入 regedit ,然后按 ENTER 键。 2. 查看下面的注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies 3. 单击 System 项(如果它存在)。如果该项不存在,请单击 编辑 菜单中的 新建 ,然后单击 项 以创建一个称为“New Key #1”的新文件夹值。将 New Key #1 值重命名为 System 。 4. 单击 System 项。在 编辑 菜单上,指向 新建 ,然后单击 DWORD 值 。将 New Key #1 项重命名为 DisableChangePassword ,按 ENTER 键,然后再次按 ENTER 键。 5. 将值从 0 更改为 1 。 6. 退出“注册表编辑器”。按 CTRL+ALT+DELETE 组合键,即可看到现在无法使用 更改密码 按钮了。
P.S:微软KB:
A.如何在 Windows 2000 中防止用户在非必要情况下更改密码
[url=http://www.pccode.net]aspx?scid=kb;zh-en;309799"http://support.microsoft.com/default.aspx?scid=kb;zh-en;309799
B.HOW TO:在 Windows Server 2003 中防止用户在非必要情况下更改密码
[url=http://www.pccode.net]aspx?scid=kb;zh-cn;324744"http://support.microsoft.com/default.aspx?scid=kb;zh-cn;324744