我有一位用户,即使他处于组策略设置中配置的 14 天期限内,密码过期弹出窗口也不会出现。他正在运行 Windows XP Pro Service Pack 3,登录 Windows 2003 域。他已连接到 LAN。即使他登录网络、确认网络连接正常、注销(无需关机或重启),然后尝试重新登录,他仍然看不到弹出窗口。我认为这可以确认网络已完全初始化。如果他登录远程服务器,他会看到弹出窗口,没有问题。这似乎只是他的 PC 的问题。
微软表示,这个问题在 Windows XP Service Pack 1 中已更正。
有人知道我还应该检查什么吗?
答案1
我见过一些从不关闭计算机的用户出现这种情况。我会尝试重新启动计算机,看看能否解决问题。
答案2
尝试进入他机器上的本地安全设置,然后在本地策略/安全选项下查看“交互式登录:提示用户更改密码”设置。
如果他是本地管理员,也许他覆盖了该设置,或者 GPO 由于某种原因没有应用它。我是我电脑上的本地管理员,看起来我可以更改该设置。
更新:将笔记本电脑上的设置更改为 7 天,然后重新启动笔记本电脑。设置未恢复为域策略。
答案3
其工作原理如下:使用 Active Directory 域,组策略将根据用户所属的安全组应用于用户。例如,您可以为出纳员、前台、IT 部门、CEO 设置具有不同权限的安全组。
这些组策略将应用于领域用户以及当地的用户,但应用限制最少的策略。
这意味着,如果用户被授予本地管理员权限,那么组策略规定他可以在自己的计算机上做什么就无关紧要了。GPO 仍然控制他对网络资源的访问,但不控制对本地计算机的访问。
在活动目录情况下管理用户的正确方法是创建组,将权限和用户分配给组,而不是授予人们本地管理员权限,从而使所有辛苦的工作化为泡影,因为该用户成为必须单独处理的边缘情况(通过告诉他更改密码,或更改他计算机上的 GPO 以指定密码过期时间,这是不是您想要处理此问题的方式)。
如果不改变思考方式,你就无法解决你所面临的情况。你必须删除他的本地管理员权限并设置域级权限来安装和控制他的机器,该权限将从设置密码更改策略的最顶层 GPO 继承。