Когда я сбрасываю пароли пользователей в Active Directory
на Windows Server 2008
или Windows Server 2012
и отметьте опцию User must change password at next logon
он не позволяет пользователям войти в систему.
Однако, когда я не устанавливаю этот флажок и сбрасываю свой пароль и разблокирую свою учетную запись, пользователи могут успешно войти в систему. Это, очевидно, представляет собой небольшую проблему с безопасностью.
Я недостаточно разбираюсь в AD, чтобы знать, почему это происходит, кто-нибудь видел это раньше?
Единственный раз, когда я видел что-то подобное, был когда мы развернули агент NAC, который разрешал только определенные порты, если пользователь не вошел в систему. По сути, сетевые службы разрешали портам входить в систему, но блокировали порты, необходимые для смены паролей.
Если вы используете какой-либо аналогичный продукт или находитесь в аналогичной ситуации, вам необходимо убедиться, что порт 464 открыт в дополнение к портам LDAP (389 и 636). Здесь есть полный список портов AD: http://technet.microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspx
Ваш домен работает на уровне 2012 года? Похоже, в вашей политике паролей есть записи, определяющие срок действия пароля. (Я думаю, что 2012 год диктует, что пользователи должны ждать 1 день, чтобы изменить свой пароль по умолчанию.) Вам следует взглянуть на настройки пароля групповой политики.
http://technet.microsoft.com/en-us/library/hh994572(v=ws.10).aspx