a)管理员重置为新密码或
到目前为止我尝试了什么:
> GPO:
只有默认域策略,其中包含密码设置.设置是:
>长度10
>启用复杂性
>历史记录设置为5,但在这种情况下无关紧要(尝试了不同的密码)
>其他一切都未定义或0
> PDC上的密码提供者:我读过你可以通过注册表使用自定义密码提供者.我检查了一个有效的域名.这似乎是默认的.我看到的只是设置EveryoneIncludesAnonymous = 0.
>在我为他创建PSO之后,用户仍然无法更改他的PW,配置应该有效.似乎他们没有被应用.
> PDC可用
>域控制器上的Set-ADAccountPassword也不起作用.
>用户帐户的安全描述符看起来很不错.每个人都有权更改密码.
>在ADUC中,用户属性正常.用户无法更改密码= $false等.
User name cardm004 Full Name Cardman,Michael Comment Test User User's comment Country/region code 000 (System Default) Account active Yes Account expires Never Password last set 16.01.2017 13:14:58 Password expires Never Password changeable 15.02.2017 13:14:58 Password required Yes User may change password Yes Workstations allowed All logon script login.cmd User profile Home directory Last logon 18.01.2017 08:14:01 logon hours allowed All Local Group Memberships Global Group memberships *Domain Users The command completed successfully.
净账户的输出
Force user logoff how long after time expires?: Never Minimum password age (days): 0 Maximum password age (days): 37201 Minimum password length: 10 Length of password history maintained: 5 Lockout threshold: Never Lockout duration (minutes): 30 Lockout observation window (minutes): 30 Computer role: Workstation
我现在没有想法了.我可以尝试找出用户无法更改密码的原因?
更新
我发现,组策略建模显示了不同用户的不同配置.对于无法更改其密码的用户,不会显示“密码设置”和“帐户锁定策略”部分.所以我假设,域控制器上可能存在复制问题.我用repadmin / showrepl检查了replicationstatus,结果还可以.我在所有3个域控制器上检查了sysvol中的文件内容,它们是相同的.所以不知何故,DC是最新的,但计算机没有得到配置.
GPUpdate / force和GPResult / r,或GPResult / h file.html看起来不错,不会显示任何错误.在GPUpdate / force没有更改错误后重新启动.
GPResult / r显示正确的站点,并显示快速连接,默认域策略(设置完成的位置)显示为已应用.
更新2
我创建了一个额外的GPO来设置密码设置.为此我创建了一个OU,我将计算机和用户帐户移动到该OU,并将该GPO与enforced = $true链接到该OU. GPResult / h显示正确的应用配置,Net user / domain testuser没有.本地策略设置与GPO相同.
问题仍然存在.
更新3
客户在微软开了一张票.他们还没有解决方案,但发现,GP似乎存在问题:用户和他的设备被移动到一个单独的OU中,以便在继承禁用的情况下进行测试.他们使用多个密码设置为其应用了新的GPO. GPResult显示更新的设置,但用户仍然无法更改其密码.
然后,他们删除了GP-link并再次启用了继承,test-GPO的设置保留在系统上.未应用默认域策略的设置(它们低于测试GPO中的设置),用户仍然无法更改其密码.
我会告诉你更新,也许有一天你会遇到这个问题,或者在微软之前找到解决方案.
根据您的评论:
This is however not true,when:
a) An Administrator resets to a new password or
b) the user had the flag “must reset passwort at logon”
我要说的是,您的密码策略设置了最小密码年龄或强制密码历史记录或两者兼而有之.可能第一个是罪魁祸首.
编辑:
根据您的最新更新,您可以看到:
密码可更改15.02.2017 13:14:58
它表明密码在30天内无法更改.
现在,您声明您的最小密码年龄设置为0.
这导致我得出两个可能的结论:
>帐户或OU都阻止了策略的继承……尽管它显示了具有“净帐户”的适当策略,但特定用户似乎并未应用它.
>有一些DC阻止继承而没有得到正确的设置.见:https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable
检查并确认GPMC中没有进行任何GPO阻止.然后检查并确保用户正在进行身份验证的DC,以及他们的计算机和用户帐户…所有3都具有“包含来自此对象的父级的可继承权限”.
