细粒度密码策略未生效 - 必须等待下次密码更改吗?

tag-icon tag-icon active-directory windows-server-2012-r2 password password-policy
细粒度密码策略未生效 - 必须等待下次密码更改吗?

我设置了细粒度密码策略,其最大密码使用期限为 180 天,以及其他与现有密码策略类似的设置。

我将优先级数字设置为较低的数字,并将其应用于安全组。运行 powershell 命令的结果仍然显示与默认域策略密码规则匹配的密码过期。

PS C:\Windows\system32> Get-ADDomain | fl Name,DomainMode


Name       : contoso
DomainMode : Windows2008R2Domain

我的 FGPP 政策:

AppliesTo                   : {CN=Password_Policy,DC=contoso,DC=com}
ComplexityEnabled           : True
DistinguishedName           : CN=Password_Policy,CN=Password Settings Container,CN=System,DC=contoso,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 3
MaxPasswordAge              : 180.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 8
Name                        : Password_Policy
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : 82be1382-9f85-447b-b618-ac1fd663f2e0
PasswordHistoryCount        : 8
Precedence                  : 1
ReversibleEncryptionEnabled : False


Get-ADUserResultantPasswordPolicy user


AppliesTo                   : {CN=Password_Policy,DC=contoso,DC=com}
ComplexityEnabled           : True
DistinguishedName           : CN=Password_Policy,CN=Password Settings Container,CN=System,DC=contoso,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 3
MaxPasswordAge              : 180.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 8
Name                        : Password_Policy
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : 82be1382-9f85-447b-b618-ac1fd663f2e0
PasswordHistoryCount        : 8
Precedence                  : 1
ReversibleEncryptionEnabled : False

实施细粒度密码策略之前

PS C:\Windows\system32> Get-ADUser -identity USER –Properties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Displayname ExpiryDate           
----------- ----------           
USER 5/31/2022 10:36:58 AM

实施细粒度密码策略后

PS C:\Windows\system32> Get-ADUser -identity USER –Properties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Displayname ExpiryDate           
----------- ----------           
USER 5/31/2022 10:36:58 AM

答案1

FGPP“适用于”必须是包含成员用户帐户的安全组。输出显示适用于的是 FGPP PSO 本身。

Get-ADUserResultantPasswordPolicy xxx


AppliesTo                   : {CN=HQ Users,OU=Groups,OU=HQ,DC=contoso,DC=com}
ComplexityEnabled           : True
DistinguishedName           : CN=HQ Users PSO,CN=Password Settings Container,CN=System,DC=contoso,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 3
MaxPasswordAge              : 90.00:00:00
MinPasswordAge              : 00:00:00
MinPasswordLength           : 14
Name                        : HQ Users PSO
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : 3c565430-a372-42b9-92da-9098f7d56d7a
PasswordHistoryCount        : 24
Precedence                  : 1
ReversibleEncryptionEnabled : False

另外,您可以通过检查用户帐户的 msds-ResultantPSO 计算属性在 dsa.msc 中确认这一点。

相关内容