“密码永不过期”显示为灰色?

“密码永不过期”显示为灰色?

我在 Azure AD DS 中拥有域用户。

我需要为一些用户设置不会过期的密码。

当我转到域中计算机上的“Active Directory 用户和计算机”时,“密码永不过期”选项显示为灰色。

在此处输入图片描述

当我进入 Office 365 并检查密码过期策略时,它被配置为密码永不过期。

在此处输入图片描述

当我查看我的其中一台机器的 GPO 时,我没有设置密码过期时间。

在此处输入图片描述

当我转到同一台机器并在 powershell 中运行 Get-ADUser 时,我得到:

在此处输入图片描述


但是,70 天后用户的密码将会过期(在 Windows Server 内),无法登录 Office 365。

有人能告诉我这是怎么回事吗?我有点困惑,需要尽快修复它!

谢谢你!

编辑1:我是一名全局管理员。

答案1

您可能需要创建细粒度的密码策略

首先,确保您已经创建了管理虚拟机:

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-management-vm

您可以通过打开“Active Directory 管理中心和创建细粒度的密码策略。指南可在此处找到:

https://activedirectorypro.com/create-fine-grained-password-policies/

答案2

但是,如果用户使用其 Azure AD 帐户登录 O365,则调查应该从 Azure AD 前端开始。

目前还不清楚用户密码验证发生在哪里:

我非常怀疑这是否相关,但是因为 AADDS 上的过期密码不应该影响 O365:但也值得对此进行研究:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy

答案3

您是否在 AD 和 Azure AD 之间使用目录同步 (AD Connect)?这是这里的关键问题。

如果用户帐户来自 AD,则密码过期(以及一般身份验证)由您的本地 AD 管理;如果用户帐户源自 Azure AD,则一切都从那里进行管理。

由于您展示了 ADUC 中用户帐户的屏幕截图,我假设该用户帐户存在于 AD 中并已同步到 Azure AD;在这种情况下,从 AD 设置用户帐户属性(例如密码永不过期)是正确的;Azure AD 不会在此发挥任何作用,因为本地 AD 是用户帐户信息的主要来源。

现在,为什么这些选项是灰色的?这看起来确实是一个权限问题;Active Directory 用户和计算机(简称AUDC)很乐意让任何人(经过身份验证的人)查看 AD 数据,但如果您无权执行某项操作,它将变灰或根本不显示。

如果您在 AD 中看到无法编辑的对象,或者尝试编辑它并收到“访问被拒绝”错误,则意味着您没有足够的权限执行此操作。
当您是域管理员(并且实际上充当域管理员,因为 UAC 可能非常麻烦)时,您应该能够编辑任何事物。但这仍然是一个权限问题:域管理员可以编辑任何内容,因为这样做的权利会自动授予“域管理员”组。如果有人更改了 OU 或用户对象本身的权限并删除了默认的“域管理员拥有完全控制权”访问权限,您将无法触碰它。

底线:检查用户对象(和/或它所在的 OU)的权限,并确保“域管理员”拥有完全控制权。如果不是这种情况,请强制获取;域管理员始终可以拥有他们不拥有的任何东西的所有权。

相关内容