我们在 Active Directory 中设置了密码策略,以使人们的密码在很多天后过期。好吧,看起来密码过期的时间已经到了,人们被锁定了……
没有任何用户密码即将过期的警告。他们只是来上班,却无法登录,电话也不再接通,什么都没有。重置密码,一切就都好了。
一些用户被锁定,但大多数用户并没有被锁定,他们只是无法登录。
在设置密码过期时,我没有看到任何关于即将过期的信息,也没有警告用户。似乎它曾经在密码过期前 15 天左右警告你。
客户端范围包括:WinXP、WinVista、Win7 和 Server 2008R2 远程桌面服务。
我如何确保我的用户收到到期警告?
未提示的用户策略结果集:
Account Policies/Password Policy
Policy Setting Winning GPO
Enforce password history 10 passwords remembered Default Domain Policy
Maximum password age 270 days Default Domain Policy
Minimum password age 0 days Default Domain Policy
Minimum password length 4 characters Default Domain Policy
Password must meet complexity requirements Disabled Default Domain Policy
Store passwords using reversible encryption Disabled Default Domain Policy
Account Policies/Account Lockout Policy
Policy Setting Winning GPO
Account lockout duration 20 minutes Default Domain Policy
Account lockout threshold 5 invalid logon attempts Default Domain Policy
Reset account lockout counter after 15 minutes Default Domain Policy
Local Policies/Audit Policy
Policy Setting Winning GPO
Audit account logon events Failure Default Domain Policy
Audit account management Success, Failure Default Domain Policy
Audit directory service access Success, Failure Default Domain Policy
Audit logon events Failure Default Domain Policy
Audit policy change Success, Failure Default Domain Policy
Audit privilege use Failure Default Domain Policy
Local Policies/Security Options
Interactive Logon
Policy Setting Winning GPO
Interactive logon: Prompt user to change password before expiration 7 days Default Domain Policy
答案1
您是否设置了密码过期警告策略?计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 交互式登录:提示用户在密码过期前更改密码
此处设置用户开始收到密码过期警告之前的天数(默认为 14)...
我希望这有帮助。
答案2
如果您有大量员工远程办公且从不来办公室(或很少来办公室),我建议您考虑使用 DirectAccess。这是一种在后台工作的自动 VPN 连接,因此当用户未在办公室连接时,组策略更新、密码更改等操作都可以进行。基本上,它会根据需要自动接入 VPN 并获取所需的更新,然后断开连接。