Назад | Перейти на главную страницу

Active Directory: пользователь должен изменить пароль при следующем входе в систему, предотвращает вход пользователей в систему

Когда я сбрасываю пароли пользователей в Active Directory на Windows Server 2008 или Windows Server 2012 и отметьте опцию User must change password at next logon он не позволяет пользователям войти в систему.

Однако, когда я не устанавливаю этот флажок и сбрасываю свой пароль и разблокирую свою учетную запись, пользователи могут успешно войти в систему. Это, очевидно, представляет собой небольшую проблему с безопасностью.

Я недостаточно разбираюсь в AD, чтобы знать, почему это происходит, кто-нибудь видел это раньше?

Единственный раз, когда я видел что-то подобное, был когда мы развернули агент NAC, который разрешал только определенные порты, если пользователь не вошел в систему. По сути, сетевые службы разрешали портам входить в систему, но блокировали порты, необходимые для смены паролей.

Если вы используете какой-либо аналогичный продукт или находитесь в аналогичной ситуации, вам необходимо убедиться, что порт 464 открыт в дополнение к портам LDAP (389 и 636). Здесь есть полный список портов AD: http://technet.microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspx

  1. Запустите tsconfig.msc
  2. Щелкните правой кнопкой мыши RDP-соединение «RDP-Tcp» и выберите «Свойства».
  3. На вкладке «Общие» измените уровень безопасности на «Уровень безопасности RDP».

Ваш домен работает на уровне 2012 года? Похоже, в вашей политике паролей есть записи, определяющие срок действия пароля. (Я думаю, что 2012 год диктует, что пользователи должны ждать 1 день, чтобы изменить свой пароль по умолчанию.) Вам следует взглянуть на настройки пароля групповой политики.

http://technet.microsoft.com/en-us/library/hh994572(v=ws.10).aspx