Я использую PowerShell для отображения истечения срока действия пароля учетной записи, прежде чем сбросить его на работе. Но глобальный GP, насколько я могу судить, составляет 180 дней, и есть некоторые сотрудники, у которых на счету установлено 90 дней. Где эти другие политики установлены, чтобы я мог видеть, что они имеют?
Я спрашиваю msDS-UserPasswordExpiryTimeComputed в PowerShell.
РЕДАКТИРОВАТЬ: я побежал gpresult /h c:\temp\gpresult.html и смог найти только следующие результаты
Account Policies/Password Policyhide
Policy Setting Winning GPO
Enforce password history 24 passwords remembered Default Domain Policy
Maximum password age 180 days Default Domain Policy
Minimum password age 0 days Default Domain Policy
Minimum password length 6 characters Default Domain Policy
Password must meet complexity requirements Disabled Default Domain Policy
Store passwords using reversible encryption Disabled Default Domain Policy
Возможно, что есть вторичные объекты групповой политики в более конкретных развертываниях (например, применяемых только к определенной группе компьютеров), которые имеют более строгие требования к сбросу пароля.
Я бы рекомендовал бегать gpresult из оболочки, запускаемой с правами администратора на затронутых машинах, чтобы определить, какие объекты групповой политики были обработаны.
Из локальной для машины командной строки: gpresult /h c:\temp\gpresult.html а затем проверьте полученный файл gpresult.html в браузере.
То, что вы ищете, - это политика, которая «выиграла», чтобы установить политику паролей; выполните поиск по запросам «политика паролей» и «Максимальный срок действия пароля» на этой странице, чтобы найти соответствующую политику, и проверьте «Победивший объект групповой политики» в правой части страницы, соответствующий набору значений, который переопределил глобально- применимая политика, которую вы указали в своем вопросе.
Только один GPO может устанавливать политики паролей для домена, и он должен быть связан с доменом. Если у вас есть несколько объектов групповой политики, которые задают политику паролей, связанную с доменом, то объект групповой политики с наивысшим приоритетом (наименьшим порядком связи) является выигравшим GPO и тем, который устанавливает политику паролей для домена. Политики паролей в GPO, связанных с OU, применяться не будут. Я предполагаю, что у вас есть детальная политика паролей. Если это так, вы должны увидеть FGPP, которые были созданы в System|Password Settings Container в Active Directory - пользователи и компьютеры (чтобы увидеть это, необходимо просмотреть дополнительные функции).
На машине с Powershell и модулями Powershell AD GPO вы можете запустить следующее, чтобы найти все GPO с настройками пароля:
PS C:\temp\gpo> get-gpo -all | foreach { get-gporeport -name $_.displayname -reporttype xml -path ("c:\temp\gpo\" + $_.displayname + ".xml") }
PS C:\temp\gpo> gci *.xml | foreach {$_.name; gc $_.name | select-string "password[al]" -context 1 }
В результате будет получен такой вывод, что позволит вам увидеть, какие GPO имеют настройки пароля.
somePolicy1.xml
somePolicy2.xml
somePolicy3.xml
Default Domain Policy.xml
<q1:Account>
> <q1:Name>MaximumPasswordAge</q1:Name>
<q1:SettingNumber>30</q1:SettingNumber>
<q1:Account>
> <q1:Name>MinimumPasswordAge</q1:Name>
<q1:SettingNumber>0</q1:SettingNumber>
<q1:Account>
> <q1:Name>MinimumPasswordLength</q1:Name>
<q1:SettingNumber>6</q1:SettingNumber>
somePolicy4.xml
somePolicy5.xml
somePolicy6.xml