У меня есть один пользователь в моем домене AD, который, похоже, не может самостоятельно выбрать пароль. У меня может быть еще один, но у них другой график истечения срока действия пароля, и я не могу вспомнить, кто это сейчас.
Я могу установить пароль через ADU & C нормально, но когда он пытается установить пароль через C-A-D, он получает сообщение «не соответствует сложности». Полагая, что он просто делал что-то вроде «pAssword32», я самостоятельно устранял неполадки, и, конечно же, он не хотел принимать пароль таким образом.
Он один из наших пользователей, который обычно использует локальную учетную запись, а затем отображает диски, используя свои учетные данные AD, поэтому он не получает срок действия вашего пароля истечет через 4 дня, возможно, вам стоит его изменить подсказки, так что он частый флаер «срок действия моего пароля истек, вы можете его исправить».
Я не хочу, чтобы он устанавливал его через ADU&C через мое плечо каждые N дней. Я просто прекрасно устанавливаю временные пароли из 48 символов хлопанья по клавиатуре и позволяю ему изменить его на что-нибудь запоминающееся.
Моя среда находится на функциональном уровне Windows 2008 R2, и я использую детализированные политики паролей. На самом деле у меня таких политик две:
Сложность пароля, которую я пробовал, соответствует как политике длины, так и выбору набора символов.
Сами разрешения на объект User выглядят нормально, SELF действительно имеет право «Изменить пароль».
Есть ли другое место, где мне следует искать вещи, которые могут повлиять на это?
Оказывается, я был недостаточно наблюдательным, чрезмерно параноидальным или, возможно, немного ... BOFHy, когда я устанавливал детальные политики паролей. Присмотревшись к ним (редактирование ADSI - не лучший интерфейс для этого, слишком много других вещей), я заметил, что устанавливаю минимальный возраст пароля.
По-видимому, администраторские сбросы действительно сбрасывают этот таймер старения на ноль.
Судя по всему, Windows сообщает об ошибке сложности пароля, когда еще слишком рано сбрасывать пароль.
Если я не хочу его менять, мой "сбросить меня!" пользователям придется смириться (например) с 2 днями использования непонятного, но очень длинного пароля, прежде чем они смогут установить его на то, что они могут запомнить.
Может быть, это просто молоток, который мне нужен, чтобы убедить их создать учетные записи домена.