我在 Azure AD DS 中拥有域用户。
我需要为一些用户设置不会过期的密码。
当我转到域中计算机上的“Active Directory 用户和计算机”时,“密码永不过期”选项显示为灰色。
当我进入 Office 365 并检查密码过期策略时,它被配置为密码永不过期。
当我查看我的其中一台机器的 GPO 时,我没有设置密码过期时间。
当我转到同一台机器并在 powershell 中运行 Get-ADUser 时,我得到:
但是,70 天后用户的密码将会过期(在 Windows Server 内),无法登录 Office 365。
有人能告诉我这是怎么回事吗?我有点困惑,需要尽快修复它!
谢谢你!
编辑1:我是一名全局管理员。
答案1
您可能需要创建细粒度的密码策略
首先,确保您已经创建了管理虚拟机:
您可以通过打开“Active Directory 管理中心和创建细粒度的密码策略。指南可在此处找到:
https://activedirectorypro.com/create-fine-grained-password-policies/
答案2
但是,如果用户使用其 Azure AD 帐户登录 O365,则调查应该从 Azure AD 前端开始。
目前还不清楚用户密码验证发生在哪里:
- 如果您使用密码哈希同步:请检查 Azure AD 上的当前密码策略:https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
- 如果您使用 ADFS/直通身份验证:请检查您的本地域密码策略、ADFS 服务器或直通身份验证代理。
我非常怀疑这是否相关,但是因为 AADDS 上的过期密码不应该影响 O365:但也值得对此进行研究:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy
答案3
您是否在 AD 和 Azure AD 之间使用目录同步 (AD Connect)?这是这里的关键问题。
如果用户帐户来自 AD,则密码过期(以及一般身份验证)由您的本地 AD 管理;如果用户帐户源自 Azure AD,则一切都从那里进行管理。
由于您展示了 ADUC 中用户帐户的屏幕截图,我假设该用户帐户存在于 AD 中并已同步到 Azure AD;在这种情况下,从 AD 设置用户帐户属性(例如密码永不过期)是正确的;Azure AD 不会在此发挥任何作用,因为本地 AD 是用户帐户信息的主要来源。
现在,为什么这些选项是灰色的?这看起来确实是一个权限问题;Active Directory 用户和计算机(简称AUDC)很乐意让任何人(经过身份验证的人)查看 AD 数据,但如果您无权执行某项操作,它将变灰或根本不显示。
如果您在 AD 中看到无法编辑的对象,或者尝试编辑它并收到“访问被拒绝”错误,则意味着您没有足够的权限执行此操作。
当您是域管理员(并且实际上充当域管理员,因为 UAC 可能非常麻烦)时,您应该能够编辑任何事物。但这仍然是一个权限问题:域管理员可以编辑任何内容,因为这样做的权利会自动授予“域管理员”组。如果有人更改了 OU 或用户对象本身的权限并删除了默认的“域管理员拥有完全控制权”访问权限,您将无法触碰它。
底线:检查用户对象(和/或它所在的 OU)的权限,并确保“域管理员”拥有完全控制权。如果不是这种情况,请强制获取;域管理员始终可以拥有他们不拥有的任何东西的所有权。