У меня есть сервер Win2k8R2, настроенный как PDC и Terminal Services (да, я знаю). Мой менеджер хотел бы, чтобы пользователи могли сбрасывать свои пароли с помощью меню «Пуск» -> «Безопасность Windows» -> «Изменить пароль».
Я не спорю с этим в принципе. Он попытался изменить свой собственный пароль, но получил сообщение «Ваш пароль не соответствует правилам сложности». Я тестировал с другой учетной записи таким же образом, и также не могу изменять пароли непривилегированных пользователей.
Я могу изменить пароли пользователей, войдя в свою учетную запись (которая является администратором, а также администратором предприятия и домена), используя Active Directory Users and Computers, а затем сбросив их пароль.
Если они хотят сбросить свой пароль, я очень рад, что они придут и сделают это таким образом, мы небольшая команда из 8 человек, это не такая уж большая задача.
Однако, даже если я отключу сложность пароля с помощью редактирование групповой политики, пользователи по-прежнему не могут изменить свои пароли.
Вопросы:
Я предполагаю, что изменяемый вами объект групповой политики был объектом групповой политики домена по умолчанию; это единственное, что влияет на ID пользователя домена. GPO в OU влияет только на локальные учетные записи на компьютерах-членах домена, которые находятся в этом OU.
Хотя домены в режиме Win2008 могут выполнять политику на основе OU, я не исследовал ни как, ни подробности.