У нас странная проблема с нашей рекламой. Мы изменили политику паролей следующим образом:
Enforce password history 5 passwords remembered
Maximum password age
120 days Minimum password age 1 day
Minimum password length 8 characters
Эта политика действует до января этого года. Тем не менее, нашим пользователям все еще приходится менять свой пароль каждые 42 дня. Я понимаю, что политика не вступит в силу, пока ваш пароль не будет изменен. Наши пользователи меняли свои пароли несколько раз с момента изменения.
На сервере при запуске сетевых учетных записей я вижу следующее:
Force user logoff how long after time expires?: Never
Minimum password age (days): 1
Maximum password age (days): 120
Minimum password length: 8
Length of password history maintained: 5
Lockout threshold: 15
Lockout duration (minutes): 5
Lockout observation window (minutes): 5
Computer role: PRIMARY
Большой! Максимальный пароль - 120 дней! Теперь я проверяю конкретного пользователя с сетевым пользователем
User name Removed
Full Name Removed
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 5/5/2015 2:54:35 PM
Password expires 9/2/2015 2:54:35 PM
Password changeable 5/6/2015 2:54:35 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 4/9/2015 4:13:10 PM
Logon hours allowed All
ОК, отлично! 9/2 - это 120 дней после 5/5! Это типично, однако. До того, как этот пользователь изменил свой пароль на 5/5, он показывал дату после 5/5 (когда срок действия его пароля действительно истек.
Сегодня я нашел новый способ проверить срок действия пароля пользователя. Поэтому я проверяю того же пользователя с помощью этого инструмента, который использует Get-ADUserResultantPasswordPolicy для определения MaxPasswordAge (я смог подтвердить, что он шел по маршруту $ accountFGPP -ne $ null , вручную запустив Get-ADUserResultantPasswordPolicy. Функция выплевывает это:
Password of account: SameUserAsBefore expires on: 06/16/2015 14:54:35
Чего ждать? Пользователь сети сказал, что срок действия пароля истекает до 9/2! Когда я запустил Get-ADUserResultantPasswordPolicy для этого пользователя, я обнаружил корень проблемы:
PS C:\Windows\system32> Get-ADUserResultantPasswordPolicy (Get-ADUser SameUserAsBefore -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet)
AppliesTo : {CN=Domain Users,CN=Users,DC=REMOVED,DC=LOCAL}
ComplexityEnabled : False
DistinguishedName : CN=Default-#####,CN=Password Settings Container,CN=System,DC=REMOVED,DC=LOCAL
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 10
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
Name : Default-#####
ObjectClass : msDS-PasswordSettings
ObjectGUID : GUIDRemoved
PasswordHistoryCount : 3
Precedence : 1
ReversibleEncryptionEnabled : False
И здесь я ошеломлен тем, почему это 42 дня, несмотря на установленную мною групповую политику, которая применяется и связана на уровне домена. Он предназначен для применения к аутентифицированным пользователям. Я пытался удалить это и переделать, если политика каким-то образом испортилась.
Кто-нибудь знает, почему групповая политика на самом деле не влияет?