<div dir="ltr">On the AD side, they limit the potential to change the AD password by deploying a modified the msgina.dll. Otherwise, the user still has the ways to throw a wrench in the system, we're just doing our best to limit the opportunity for this action.</div>

<div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Aug 14, 2013 at 10:32 AM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">On Wed, 2013-08-14 at 09:48 -0400, Brian Lee wrote:<br>
> Hi Sumit,<br>
><br>
><br>
> Thanks for the suggestion. I'll have to give this some thought, since<br>
> we have 100+ AD servers, this might not be well received by the AD<br>
> team. If anyone can think of a better mousetrap than this, let me<br>
> know.<br>
<br>
</div>Do you also block the 'net user' command on Windows clients ?<br>
It's the same as 'passwd' on Linux clients.<br>
<br>
I would address the problem by using proper password policies as I (now)<br>
see Petr recommended i another email.<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</font></span></blockquote></div><br></div>