我所在的组织必须为所有用户更改站点范围内的密码。
在大多数情况下,这都没问题,但有三个特定帐户的密码无法更改,只能由域管理员重置。
当这三名受影响的用户尝试自己更改密码时,他们会被告知密码不符合域的长度/复杂性/历史要求。无论是他们在本地 Win10 加入域的 PC 上自己更改密码,还是管理员Set-ADAccountPassword -Identity $user在域控制器上尝试更改密码,情况都是如此。
重置密码做工作(通过 dsa.mmc 和使用Set-ADAccountPassword -Reset)
在默认域策略中,密码要求为:最小长度 8、历史记录 0(无历史记录)、启用复杂性、最短年龄 0 天、最长年龄 200 天、禁用可逆加密。
我已经对受影响的用户使用了组策略建模来确认这是在他们自己的计算机上以及在我一直尝试 Set-ADAccountPassword 的 DC 上应用于他们的密码策略。
因不符合要求消息而被拒绝的示例密码(更改时再次被拒绝,但重置时被接受)是ThisIsATest0303!和r@9,@'Q-VL'B(f#'_C\AW5>_#z*Mn<"!w{,。
谷歌搜索让我失望,因为在我找到的所有结果中,其他发布类似问题的人实际上都在尝试不符合策略的密码,或者最小年龄为 1 天。我们的最小年龄为 0 - 而且它只会影响少数用户。其他用户,即使是在同一个 OU 内,也可以正常更改密码。
我仔细检查了受影响帐户和未受影响帐户的所有属性,但没有任何发现。
这从来都不是一个 SBS 环境,或者如果它曾经是,任何剩余的 SBS OU、策略等在我看到它之前就被清除了,所以我不相信有任何残留的东西会把事情搞乱。
渴望得到任何指点!