res*_*987 6 windows password active-directory
在我客户的一个子域中,他遇到了一些(看起来像)随机用户由于“复杂性等等”而无法更改密码的问题。然而,事实并非如此,当:
a) 管理员重置为新密码或
b) 用户有“登录时必须重设密码”的标志
到目前为止我尝试过的:
GPO:只有带有密码设置的默认域策略。设置是:
PDC 上的密码提供程序:我读到您可以通过注册表使用自定义密码提供程序。我用一个一切正常的域检查了它。好像是默认的。我唯一看到的是设置EveryoneIncludesAnonymous = 0。
在我为他创建 PSO 后,用户仍然无法更改他的 PW,配置应该可以工作。好像它们没有被应用。
PDC可用
Set-ADAccountPassword 在域控制器上也不起作用。
用户帐户的安全描述符看起来还不错。每个人都有权更改密码。
在 ADUC 中,用户属性没问题。用户不能更改密码 = $false 等。
输出 net user /domain Myuser
User name cardm004
Full Name Cardman, Michael
Comment Test User
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 16.01.2017 13:14:58
Password expires Never
Password changeable 15.02.2017 13:14:58
Password required Yes
User may change password Yes
Workstations allowed All
Logon script login.cmd
User profile
Home directory
Last logon 18.01.2017 08:14:01
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
输出 net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 37201
Minimum password length: 10
Length of password history maintained: 5
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: Workstation
我现在没有想法了。我可以尝试找出用户无法更改密码的原因?
更新
我发现,组策略建模为不同的用户显示了不同的配置。对于无法更改密码的用户,不会显示“密码设置”和“帐户锁定策略”部分。所以我假设域控制器上可能存在复制问题。我检查了复制状态,repadmin /showrepl结果没问题。我检查了所有 3 个域控制器上 sysvol 中的文件内容,它们完全相同。所以不知何故,DC 是最新的,但计算机没有获得配置。
GPUpdate /force和GPResult /r,或者GPResult /h file.html看起来不错并且不显示任何错误。重启后GPUpdate /force没有改变错误。
GPResult /r显示正确的站点,并显示快速连接,Default Domain Policy(设置完成的地方)显示为已应用。
更新 2
我创建了一个额外的 GPO 来设置密码设置。为此,我创建了一个 OU,在那里我将计算机和用户帐户移到enforced = $true了该 OU并将该 GPO 链接到了该 OU。GPResult /h显示正确的应用配置,Net user /domain testuser没有。本地策略设置与 GPO 相同。
问题仍然存在。
更新 3
客户在 microsoft 开了一张票。他们还没有解决方案,但发现 GP 似乎存在一个问题:用户和他的设备被移动到一个单独的 OU 中,以便在禁用继承的情况下进行测试。他们使用多个密码设置对其应用了新的 GPO。GPResult显示更新的设置,但用户仍然无法更改他的密码。
然后,他们删除了 GP-link 并再次启用了继承,test-GPO 的设置保留在系统上。未应用默认域策略的设置(它们低于测试 GPO 中的设置),用户仍然无法更改其密码。
我会及时通知您,也许你们中的一个人有一天遇到了这个问题,或者在微软之前找到了解决方案。
The*_*ner 14
IIRC 错误是任何密码更改问题的一般错误。
根据您的评论:
然而,事实并非如此,当:
a) 管理员重置为新密码或
b) 用户有标志“必须在登录时重置密码”
我要说的问题是,你的密码策略有一个设置为两种Minimum Password Age或Enforce Password History或两者兼而有之。可能第一个是这里的罪魁祸首。
编辑:
根据您的最新更新,您可以看到:
Password changeable 15.02.2017 13:14:58
它显示密码在 30 天内不可更改。
现在,您声明您的最低密码年龄设置为 0。
这使我得出两个可能的结论:
帐户或 OU 正在阻止策略的继承......尽管它显示了带有“网络帐户”的正确策略,但特定用户似乎并未应用它。
有一些 DC 会阻止继承并且没有获得正确的设置。请参阅此处:https : //community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable
检查并验证在 GPMC 中没有进行任何 GPO 阻止。然后检查并确保用户对其进行身份验证的 DC,以及他们的计算机和他们的用户帐户......所有 3 个都具有“包括来自该对象父级的可继承权限”。
| 归档时间: |
|
| 查看次数: |
31080 次 |
| 最近记录: |