В моей сети Windows, где все серверы AD (все еще) работают под управлением Windows 2003, я столкнулся со следующей проблемой: Политика «Максимальный срок действия пароля» явно не применяется. Хотя некоторых пользователей действительно просили регулярно менять пароль, очевидно, что очень многие из них не попросили сделать это. Быстрый поиск LDAP для пользователей с passwordLastSet <=
два года назад, lastlogonTimestamp >=
три недели назад и userAccountControl=512
(это загадочное условие особенно означает, что Password never expires
флажок не установлен) дает мне список из примерно 70 (!) пользователей. Я мог бы вручную попросить их изменить свои пароли при следующем входе в систему, но я бы предпочел, чтобы политика возраста паролей выполняла свою работу (и я оставил их неизменными именно для того, чтобы получить представление о том, что политика работает).
Я думал, что знаю, где это настроить: в Политика домена по умолчанию под Максимальный возраст пароля, период.
От отчаяния я разозлился на следующее, которое, согласно документам, не должно было помочь (но, по крайней мере, не должно повредить, не так ли?): Поскольку параметр в «Политике домена по умолчанию» - по-видимому - не имел никакого эффекта, я дополнительно сделаны соответствующие настройки для всех объектов политики, которые могут иметь влияние при различных обстоятельствах, а именно: «Политика контроллеров домена по умолчанию», «Политика домена [КОМПАНИЯ]», «Политика контроллера домена [КОМПАНИЯ],« Политика компьютеров [КОМПАНИЯ] »( названия, я думаю, неплохо указывают на их объем), но ничего не помогло. Чтобы дать обзор: люди сначала входят в систему на своем ПК, который может быть с любой версией Windows, от 8.1 до нескольких, даже все еще работающих под XP (и в процессе сброса). Здесь они либо работают локально, либо, как правило, подключаются к серверам RDP, которые работают под управлением Windows 2008R2; этот последний вход дополнительно регулируется специальной «Политикой обратной связи TS [КОМПАНИЯ]», в которой я также добавил настройку возраста maxpassword - безуспешно. И в конце концов, уже логин на локальном ПК должен был вызвать истечение срока действия.
Другими словами, я понятия не имею, в чем может быть проблема, и буду очень признателен за помощь. Между тем это уже несколько месяцев беспокоит меня, и сейчас это становится все более болезненной (см. Фактический возраст пароля, обнаруженный в первом абзаце !!). Хотя мы очень хотим перенести версию AD и эту мощь решить проблему как побочный эффект, мы были бы намного счастливее, если бы эту проблему можно было решить до начала миграции (и, возможно, импорта глубоко скрытой проблемы).
Взгляните на объект «Домен» в ADSIEDIT. Я подозреваю, что вы обнаружите, что для атрибута maxPwdAge установлено значение 0. Удалите это значение и обновите политику на своих контроллерах домена, и вы увидите, что срок действия пароля истек.
Я также столкнулся с аналогичной проблемой, но проблема оказалась в блоке наследования над подразделением «контроллеры домена».
Если у вас есть этот блок, политика домена по умолчанию не будет применять настройки пароля.
Вы можете прочитать полную статью на странице MS Вот: https://support.microsoft.com/en-ie/help/269236/changes-are-not-applied-when-you-change-the-password-policy
Слона в комнате правильно заметил выше Хаген фон Эйцен. Если в ADUC установлен флажок «пароль никогда не истекает», GPO не сможет отменить и заставить пользователя изменить свой пароль. Это поле ДОЛЖНО быть снято!