Blu*_*NFB 3 windows-server-2008 password active-directory group-policy
我的 AD 域中有一个用户似乎无法自行选择密码。我可能还有另一个,但它们的密码到期时间表完全不同,我现在不记得是谁了。
我可以通过 ADU&C 设置密码就好了,但是当他通过 CAD 尝试时,他收到“不符合复杂性”的消息。想到他只是在做类似“pAssword32”的事情,我自己做了一些故障排除,果然它不想以这种方式获取密码。
他是我们的用户之一,习惯性地使用本地帐户,然后使用他的AD凭据映射驱动器,因此他没有得到您的密码将在4天后过期,也许您应该更改它的提示,因此他经常出现“我的密码已过期,你能修好吗”传单。
我不想让他每 N 天通过 ADU&C 将它设置在我的肩膀上。我只是很好地设置了 48 个字符的敲击键盘的临时密码,并让他改变了一些令人难忘的东西。
我的环境处于 Windows 2008 R2 功能级别,并且我正在使用细粒度的密码策略。事实上,我有两个这样的政策:
我尝试过的密码复杂性与长度和字符集选择的策略相匹配。
User 对象本身的权限看起来很正常,SELF 确实具有“更改密码”权限。
是否还有其他地方我应该寻找可能影响此的东西?
事实证明,当我设置细粒度密码策略时,我观察力不够,过于偏执,或者可能有点...... BOFHy。仔细观察它们(ADSI 编辑不是一个很好的界面,其他太多东西)我注意到我设置了最小密码年龄。
显然,管理员重置确实将这个老化计时器重置为零。
显然,当重置密码过早时,Windows 会报告密码复杂性错误。
除非我想改变它,我的“重置我!” 用户将不得不忍受(例如)2 天的不可能记住但非常长的密码傻瓜帽,然后才能将其设置为他们可以记住的东西。
也许这只是我需要敦促他们进入直接域帐户的锤子。