У нас странная проблема с нашей рекламой. Мы изменили политику паролей следующим образом:

Enforce password history 5 passwords remembered
Maximum password age
120 days  Minimum password age 1 day
Minimum password length 8 characters

Эта политика действует до января этого года. Тем не менее, нашим пользователям все еще приходится менять свой пароль каждые 42 дня. Я понимаю, что политика не вступит в силу, пока ваш пароль не будет изменен. Наши пользователи меняли свои пароли несколько раз с момента изменения.

На сервере при запуске сетевых учетных записей я вижу следующее:

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          1
Maximum password age (days):                          120
Minimum password length:                              8
Length of password history maintained:                5
Lockout threshold:                                    15
Lockout duration (minutes):                           5
Lockout observation window (minutes):                 5
Computer role:                                        PRIMARY

Большой! Максимальный пароль - 120 дней! Теперь я проверяю конкретного пользователя с сетевым пользователем

User name                    Removed
Full Name                    Removed
Comment
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            5/5/2015 2:54:35 PM
Password expires             9/2/2015 2:54:35 PM
Password changeable          5/6/2015 2:54:35 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   4/9/2015 4:13:10 PM

Logon hours allowed          All

ОК, отлично! 9/2 - это 120 дней после 5/5! Это типично, однако. До того, как этот пользователь изменил свой пароль на 5/5, он показывал дату после 5/5 (когда срок действия его пароля действительно истек.

Сегодня я нашел новый способ проверить срок действия пароля пользователя. Поэтому я проверяю того же пользователя с помощью этого инструмента, который использует Get-ADUserResultantPasswordPolicy для определения MaxPasswordAge (я смог подтвердить, что он шел по маршруту $ accountFGPP -ne $ null , вручную запустив Get-ADUserResultantPasswordPolicy. Функция выплевывает это:

Password of account: SameUserAsBefore expires on: 06/16/2015 14:54:35

Чего ждать? Пользователь сети сказал, что срок действия пароля истекает до 9/2! Когда я запустил Get-ADUserResultantPasswordPolicy для этого пользователя, я обнаружил корень проблемы:

PS C:\Windows\system32> Get-ADUserResultantPasswordPolicy (Get-ADUser SameUserAsBefore -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet)

AppliesTo                   : {CN=Domain Users,CN=Users,DC=REMOVED,DC=LOCAL}
ComplexityEnabled           : False
DistinguishedName           : CN=Default-#####,CN=Password Settings Container,CN=System,DC=REMOVED,DC=LOCAL
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 10
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
Name                        : Default-#####
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : GUIDRemoved
PasswordHistoryCount        : 3
Precedence                  : 1
ReversibleEncryptionEnabled : False

И здесь я ошеломлен тем, почему это 42 дня, несмотря на установленную мною групповую политику, которая применяется и связана на уровне домена. Он предназначен для применения к аутентифицированным пользователям. Я пытался удалить это и переделать, если политика каким-то образом испортилась.

Кто-нибудь знает, почему групповая политика на самом деле не влияет?

1 ответ1

0

Эта проблема наконец-то решена! Мне открылся совершенно новый мир Windows Server.

От Mec Beau и отредактировано Excellll:

Создав объект групповой политики в OU, это не сработает для того, что вы пытаетесь сделать. Объекты групповой политики, относящиеся к политикам паролей, можно устанавливать только на уровне домена. Однако, чтобы применить политику к подмножеству пользователей домена, вам необходимо использовать детализированные политики паролей.

Их можно применять на уровне группы, поэтому необходимо убедиться, что все пользователи, на которых вы хотите повлиять с помощью этой новой политики, являются членами соответствующей группы.

Чтобы сделать это в домене Windows 2012, выполните следующие действия с DC.

  1. На начальном экране введите DSAC.EXE, чтобы запустить Центр администрирования службы каталогов.
  2. Перейдите в контейнер System\Password Settings
  3. Щелкните правой кнопкой мыши и выберите New или используйте New в меню Tasks.
  4. Выберите настройки пароля
  5. Создайте новую политику паролей для пользователя или группы.
  6. Установите приоритет в случае, если у вас создано несколько политик, поэтому уменьшите число выше приоритета.

Это довольно очевидно оттуда.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .