我们在 AD 方面遇到了一个奇怪的问题。我们已将密码策略更改为如下内容:
Enforce password history 5 passwords remembered
Maximum password age
120 days Minimum password age 1 day
Minimum password length 8 characters
这项政策自今年 1 月之前就已生效。不过,我们的用户仍然必须每 42 天更改一次密码。我理解,该政策只有在您更改密码后才会生效。自更改密码以来,我们的用户已经更改过几次密码。
在服务器上运行时净账户我看到以下内容:
Force user logoff how long after time expires?: Never
Minimum password age (days): 1
Maximum password age (days): 120
Minimum password length: 8
Length of password history maintained: 5
Lockout threshold: 15
Lockout duration (minutes): 5
Lockout observation window (minutes): 5
Computer role: PRIMARY
太棒了!最长密码为 120 天!现在我使用以下方法检查特定用户网络用户
User name Removed
Full Name Removed
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 5/5/2015 2:54:35 PM
Password expires 9/2/2015 2:54:35 PM
Password changeable 5/6/2015 2:54:35 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 4/9/2015 4:13:10 PM
Logon hours allowed All
好的,完美!9/2 是 5/5 之后的 120 天!不过,这很常见。在此用户于 5/5 更改密码之前,密码显示的日期是 5/5 之后的日期(当时他们的密码实际上已到期。
今天我发现了一个检查用户密码过期的新方法。因此我使用这个工具检查了同一个用户获取 ADUserResultantPasswordPolicy确定 MaxPasswordAge (我可以确认它正在下降$accountFGPP-ne$null通过手动运行路线获取 ADUserResultantPasswordPolicy。该函数输出以下内容:
Password of account: SameUserAsBefore expires on: 06/16/2015 14:54:35
等一下,什么?网络用户密码有效期到 9 月 2 日!当我运行获取 ADUserResultantPasswordPolicy在此用户上,我找到了问题的根源:
PS C:\Windows\system32> Get-ADUserResultantPasswordPolicy (Get-ADUser SameUserAsBefore -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet)
AppliesTo : {CN=Domain Users,CN=Users,DC=REMOVED,DC=LOCAL}
ComplexityEnabled : False
DistinguishedName : CN=Default-#####,CN=Password Settings Container,CN=System,DC=REMOVED,DC=LOCAL
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 10
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
Name : Default-#####
ObjectClass : msDS-PasswordSettings
ObjectGUID : GUIDRemoved
PasswordHistoryCount : 3
Precedence : 1
ReversibleEncryptionEnabled : False
我当时就傻眼了,为什么时间是 42 天,尽管我设置的组策略是在域级别强制执行和链接的。它被设置为应用于经过身份验证的用户。我尝试删除它并重新制定它,以防策略以某种方式损坏。
有人知道为什么组策略实际上没有生效吗?
答案1
这个问题终于解决了!我终于看到了 Windows Server 的一个全新世界。
摘自 Mec Beau 并由 Excellll 编辑:
通过在 OU 上创建 GPO,这对于您要执行的操作不起作用。与密码策略相关的 GPO 只能在域级别设置。但是,为了将策略应用于域用户的子集,您需要使用细粒度密码策略。
这些可以在组级别应用,因此您需要确保您希望通过此新策略影响的所有用户都是相应组的成员。
要在 Windows 2012 域上执行此操作,请从 DC 执行以下操作。
- 从“开始”屏幕输入 DSAC.EXE 来启动目录服务管理中心。
- 导航到 System\Password 设置容器
- 右键单击并选择新建或使用任务菜单下的新建。
- 选择密码设置
- 为用户或组创建新的密码策略。
- 如果您创建了多个策略,请设置其优先级,因此数字越低,优先级越高。
从那里开始一切都相当不言自明了。