我的 AD 域中有一个用户似乎无法自行选择密码。我可能还有另一个用户,但他们的密码过期时间安排完全不同,我现在记不清是谁了。
我可以通过 ADU&C 顺利设置密码,但当他尝试通过 CAD 设置密码时,他收到“不符合复杂性”消息。我猜想他只是在执行“pAssword32”之类的操作,于是我自行进行了一些故障排除,果然它不想以这种方式获取密码。
他是我们的用户之一,习惯性地使用本地帐户,然后使用他的 AD 凭据映射驱动器,这样他就不会获得你的密码将在 4 天后过期,也许你应该更改它提示,所以他经常会发“我的密码过期了,你能修复它吗”的传单。
我不想让他每隔 N 天就通过 ADU&C 设置密码。我很乐意设置 48 个字符的临时密码,让他改成容易记住的密码。
我的环境处于 Windows 2008 R2 功能级别,并且我正在使用细粒度密码策略。事实上,我有两个这样的策略:
- 对于普通用户(最小长度、记住密码)
- 对于特殊公用事业帐户
我尝试过的密码复杂性符合长度和字符集选择策略。
User 对象本身的权限看起来很正常,SELF 确实具有“更改密码”的权限。
我是否应该在其他地方寻找可能影响此情况的事物?
答案1
事实证明,当我设置细粒度密码策略时,我不够细心,过于偏执,或者可能有点……BOFHy。仔细查看它们(ADSI 编辑不是一个很好的界面,有太多其他东西)我注意到我正在设置最低密码年龄。
显然,admin-resets 确实会将此老化计时器重置为零。
显然,当重置密码太早时,Windows 会报告密码复杂性错误。
除非我想更改它,否则我的“重置我!”用户将不得不忍受(例如)两天不可能记住但又很长的密码,然后才能够将其设置为他们可以记住的密码。
也许这正是我需要的强力武器,以促使他们直接使用域名帐户。