当我在或Active Directory上重置用户密码并选中该选项时,它会阻止用户登录。 Windows Server 2008Windows Server 2012User must change password at next logon
然而,当我不勾选此选项并重置密码并解锁账户时,用户可以成功登录。这显然存在一些安全问题。
我不太了解 AD,不知道为什么会发生这种情况,有人见过这种情况吗?
答案1
我唯一一次看到这种情况是当我们部署 NAC 代理时,该代理只允许某些端口,除非用户登录。基本上,网络服务允许端口登录,但阻止了更改密码所需的端口。
如果您正在使用某种类似的产品,或者处于类似的情况,则需要确保除了 LDAP 端口(389 和 636)之外,端口 464 也处于打开状态。这里有完整的 AD 端口列表: http://technet.microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspx
答案2
您的域功能级别是 2012 吗?听起来您的密码策略已定义密码使用期限的条目。(我认为 2012 规定用户必须默认等待 1 天才能更改密码。)您应该查看您的组策略密码设置。
http://technet.microsoft.com/en-us/library/hh994572(v=ws.10).aspx
答案3
- 运行 tsconfig.msc
- 右键单击 RDP 连接“RDP-Tcp”,然后单击“属性
- 在常规选项卡下,将安全层更改为“RDP 安全层”