В одном из дочерних доменов моего клиента у него возникла проблема, заключающаяся в том, что ряд (похоже) случайных пользователей не могут изменить свой пароль из-за «сложности, бла-бла». Однако это неверно, если:
а) Администратор устанавливает новый пароль или
б) у пользователя был установлен флажок «должен сбрасывать пароль при входе в систему»
Что я пробовал до сих пор:
Объекты групповой политики: существует только политика домена по умолчанию с настройками пароля. Настройки следующие:
Поставщик паролей на PDC: я читал, что вы можете использовать настраиваемые поставщики паролей через реестр. Проверял с доменом, где все работает. Вроде по умолчанию. Единственное, что я видел, это настройку EveryoneIncludesAnonymous = 0.
Пользователь все еще не мог изменить свой PW после того, как я создал для него PSO с конфигурацией, которая должна работать. Казалось, они не применялись.
PDC доступен
Set-ADAccountPassword на контроллере домена тоже не работало.
Дескриптор безопасности учетной записи пользователя выглядит вполне нормально. Каждый имеет право изменить пароль.
В ADUC со свойствами пользователя все в порядке. Пользователь не может изменить пароль = $ false и т. Д.
Выход net user /domain Myuser
User name cardm004
Full Name Cardman, Michael
Comment Test User
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 16.01.2017 13:14:58
Password expires Never
Password changeable 15.02.2017 13:14:58
Password required Yes
User may change password Yes
Workstations allowed All
Logon script login.cmd
User profile
Home directory
Last logon 18.01.2017 08:14:01
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
Выход net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 37201
Minimum password length: 10
Length of password history maintained: 5
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: Workstation
У меня сейчас нет идей. Что я мог попытаться выяснить, почему пользователи не могут менять свои пароли?
Обновить
Я выяснил, что моделирование групповой политики показывает разные конфигурации для разных пользователей. Часть «параметры пароля» и «политика блокировки учетной записи» не отображаются для пользователей, которые не могут изменить свои пароли. Поэтому я предполагаю, что на контроллерах домена может быть проблема с репликацией. Я проверил статус репликации с помощью repadmin /showrepl и результаты были в порядке. Я проверил содержимое файла в sysvol на всех 3 контроллерах домена, и они идентичны. Так или иначе, контроллеры домена обновлены, но компьютеры не получают конфигурации.
GPUpdate /force и GPResult /r, или GPResult /h file.html выглядят хорошо и не показывают ошибок. Перезагрузить через GPUpdate /force не изменил ошибку. GPResult /r показывает правильный сайт и отображает быстрое соединение, Default Domain Policy (где выполняются настройки) отображается как примененное.
Обновление 2 Я создал дополнительный объект групповой политики, чтобы установить параметры пароля. Для этого я создал OU, в который переместил компьютер и учетную запись пользователя и связал этот GPO с enforced = $true к этому OU. GPResult /h показывает правильную применяемую конфигурацию, Net user /domain testuser не. Параметры локальной политики идентичны параметрам GPO.
Проблема все еще возникает.
Обновление 3 Клиент открыл тикет в Microsoft. У них еще нет решения, но выяснилось, что, похоже, есть проблема с GP: пользователь и его устройство были перемещены в отдельное OU для тестирования с отключенным наследованием. Они применили к нему новый GPO с несколькими настройками пароля. GPResult показывал обновленные настройки, но пользователь все еще не мог изменить свой пароль.
Затем они удалили GP-ссылку и снова включили наследование, настройки тестового GPO остались в системе. Настройки Политика домена по умолчанию не применялись (они были ниже, чем в тестовом GPO), и пользователь все еще не мог изменить свой пароль.
Я буду держать вас в курсе, возможно, один из вас однажды столкнется с этой проблемой или найдет решение раньше, чем это сделает Microsoft.
IIRC ошибка является общей ошибкой для любой проблемы с изменением пароля.
На основании вашего комментария:
Однако это неверно, если:
а) Администратор устанавливает новый пароль или
б) у пользователя был установлен флажок «должен сбрасывать пароль при входе в систему»
Я собираюсь сказать, что проблема в том, что в вашей политике паролей есть настройки для Minimum Password Age или Enforce Password History или оба. Скорее всего, виноват первый.
РЕДАКТИРОВАТЬ:
На основе вашего последнего обновления вы можете увидеть:
Password changeable 15.02.2017 13:14:58
Это показывает, что пароль нельзя изменить в течение 30 дней.
Вы указали, что минимальный возраст вашего пароля равен 0.
Это подводит меня к двум возможным выводам:
Либо учетные записи, либо подразделения блокируют наследование политики ... несмотря на то, что она показывает правильную политику с «чистыми учетными записями», конкретный пользователь, похоже, не применяет ее.
Есть некоторые контроллеры домена, которые блокируют наследование и не получают правильные настройки. Посмотреть здесь: https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable
Проверьте и убедитесь, что в GPMC не выполняется блокировка GPO. Затем проверьте и убедитесь, что DC, на котором выполняется аутентификация пользователя, вместе со своим компьютером и его учетной записью ... все 3 имеют «Включить наследуемые разрешения от родительского объекта этого объекта».
Ваш результат net user /domain Myuser команда в настоящее время отражает минимальный срок действия пароля 31 день. Похоже, тебе нужно измените свой PSO для этого пользователя и установите минимальный возраст пароля на 0 в этом объекте.
Кроме того, подтвердили ли вы, что PSO был успешно применен к пользователю или группе? Если это так, вы должны увидеть msDS-ResultantPSO атрибуты, заполненные в учетной записи AD пользователя. Вы можете легко проверить это с помощью ADUC на вкладке атрибутов или выполнив следующие команды PowerShell:
Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL
Кстати, бег net accounts собирается вернуть настройки для учетные записи локального компьютера. Параметры локальной учетной записи настраиваются отдельно от параметров учетной записи домена.
Глупое предложение, но вы проверили, что пароль пользователя соответствует требованиям:
В соответствии с: https://technet.microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx