windows – 由于复杂性,用户无法更改密码

前端之家收集整理的这篇文章主要介绍了windows – 由于复杂性,用户无法更改密码前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在我的一个客户的子域名中,他遇到的问题是,由于“复杂等等”,一些(看起来像)随机用户无法更改密码.然而,在以下情况下,这不是真的:

a)管理员重置为新密码或

b)用户有“必须在登录时重置密码”的标志

到目前为止我尝试了什么:

> GPO:
只有默认域策略,其中包含密码设置.设置是:

>长度10
>启用复杂性
>历史记录设置为5,但在这种情况下无关紧要(尝试了不同的密码)
>其他一切都未定义或0

> PDC上的密码提供者:我读过你可以通过注册表使用自定义密码提供者.我检查了一个有效的域名.这似乎是默认的.我看到的只是设置EveryoneIncludesAnonymous = 0.
>在我为他创建PSO之后,用户仍然无法更改他的PW,配置应该有效.似乎他们没有被应用.
> PDC可用
>域控制器上的Set-ADAccountPassword也不起作用.
>用户帐户的安全描述符看起来很不错.每个人都有权更改密码.
>在ADUC中,用户属性正常.用户无法更改密码= $false等.

输出用户/域Myuser

User name                    cardm004
Full Name                    Cardman,Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

净账户的输出

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

我现在没有想法了.我可以尝试找出用户无法更改密码的原因?

更新

我发现,组策略建模显示了不同用户的不同配置.对于无法更改其密码的用户,不会显示“密码设置”和“帐户锁定策略”部分.所以我假设,域控制器上可能存在复制问题.我用repadmin / showrepl检查了replicationstatus,结果还可以.我在所有3个域控制器上检查了sysvol中的文件内容,它们是相同的.所以不知何故,DC是最新的,但计算机没有得到配置.

GPUpdate / force和GPResult / r,或GPResult / h file.html看起来不错,不会显示任何错误.在GPUpdate / force没有更改错误后重新启动.
GPResult / r显示正确的站点,并显示快速连接,默认域策略(设置完成的位置)显示为已应用.

更新2
我创建了一个额外的GPO来设置密码设置.为此我创建了一个OU,我将计算机和用户帐户移动到该OU,并将该GPO与enforced = $true链接到该OU. GPResult / h显示正确的应用配置,Net user / domain testuser没有.本地策略设置与GPO相同.

问题仍然存在.

更新3
客户在微软开了一张票.他们还没有解决方案,但发现,GP似乎存在问题:用户和他的设备被移动到一个单独的OU中,以便在继承禁用的情况下进行测试.他们使用多个密码设置为其应用了新的GPO. GPResult显示更新的设置,但用户仍然无法更改其密码.

然后,他们删除了GP-link并再次启用了继承,test-GPO的设置保留在系统上.未应用默认域策略的设置(它们低于测试GPO中的设置),用户仍然无法更改其密码.

我会告诉你更新,也许有一天你会遇到这个问题,或者在微软之前找到解决方案.

IIRC错误是任何密码更改问题的一般错误.

根据您的评论

This is however not true,when:

a) An Administrator resets to a new password or

b) the user had the flag “must reset passwort at logon”

我要说的是,您的密码策略设置了最小密码年龄或强制密码历史记录或两者兼而有之.可能第一个是罪魁祸首.

编辑:

根据您的最新更新,您可以看到:

密码可更改15.02.2017 13:14:58

它表明密码在30天内无法更改.

现在,您声明您的最小密码年龄设置为0.

这导致我得出两个可能的结论:

>帐户或OU都阻止了策略的继承……尽管它显示了具有“净帐户”的适当策略,但特定用户似乎并未应用它.
>有一些DC阻止继承而没有得到正确的设置.见:https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable

检查并确认GPMC中没有进行任何GPO阻止.然后检查并确保用户正在进行身份验证的DC,以及他们的计算机和用户帐户…所有3都具有“包含来自此对象的父级的可继承权限”.

猜你在找的Windows相关文章