在我的 Windows 网络中,所有 AD 服务器(仍然)运行 Windows 2003,我遇到了以下问题:“最大密码使用期限”策略显然不适用。尽管确实要求一些用户定期更改密码,但显然很多用户不是要求这样做。快速 LDAP 搜索passwordLastSet <=
两年前 (!)lastlogonTimestamp >=
和三周前的用户userAccountControl=512
(这个神秘的条件特别意味着Password never expires
未选中复选框)会给我一个大约 70 个 (!) 用户的列表。我可能会手动要求他们在下次登录时更改密码,但我希望看到密码年龄策略发挥作用(我保留它们不变,正是为了得到策略起作用的指示)。
我以为我知道在哪里配置这个:在默认域策略在下面密码最长使用期限, 时期。
我绝望地做了以下事情,根据文档,这应该没有帮助(但至少也不应该有害,不是吗?):由于“默认域策略”中的设置 - 显然 - 没有效果,我另外在所有可能在各种情况下产生影响的策略对象中进行了相应的设置,即“默认域控制器策略”、“[公司] 域策略”、“[公司] DC 策略”、“[公司] 计算机策略”(我想这些名称很好地表明了它们的范围)但没有任何帮助。概述一下:人们首先登录到他们的 PC,这台 PC 可以是任何版本的 Windows,从 8.1 到一些甚至仍在运行 XP(并且正在被转储)的版本。在这里,他们要么在本地工作,要么主要登录到 RDP 服务器,这些服务器都运行 Windows 2008R2;后者登录还受特定“[公司] TS 环回策略”的管理,我还在其中添加了 maxpassword age 设置 - 但没有成功。毕竟,登录本地电脑应该已经触发过期了。
换句话说,我不知道这背后的问题是什么,非常感谢您的帮助。与此同时,这个问题已经困扰了我几个月,事实上,现在它正在成为一个越来越令人头疼的问题(参见第一段中发现的实际密码年龄!!)。虽然我们迫切希望迁移 AD 版本,但可能解决问题作为副作用,如果可以在开始迁移(并且可能引入一个深藏隐藏的问题)之前解决这个问题,我们会更高兴。
答案1
查看 ADSIEDIT 中的域对象。我怀疑您会发现 maxPwdAge 属性设置为 0。清除该值并刷新 DC 上的策略,您应该会看到密码过期。
答案2
我也遇到了类似的问题,但问题似乎出在“域控制器”OU 上的继承块上。
如果您有该阻止,则默认域策略将不会应用密码设置。
您可以在 MS 页面上阅读全文这里:https://support.microsoft.com/en-ie/help/269236/changes-are-not-applied-when-you-change-the-password-policy
答案3
上面的 Hagen von Eitzen 正确地指出了房间里的大象。如果 ADUC 勾选了用户复选框“密码永不过期”,GPO 将无法覆盖并强制用户更改密码。必须取消选中此框!