web-dev-qa-db-ja.com

ADユーザーパスワードは通知なしで期限切れになりますか?

Active Directoryでパスワードポリシーを設定して、何日も経ってからパスワードを失効させます。さて、パスワードの有効期限が切れる時が来たようで、人々はロックアウトされています...

有効期限が近づいているユーザーパスワードの警告はありません。彼らは仕事に来ただけでログインできず、電話はもう接続していません。パスワードをリセットすると、すべて問題ありません。

一部のユーザーはロックアウトされていますが、ほとんどのユーザーはロックアウトされておらず、ログインできません。

パスワードの有効期限を設定する際に、期限切れが近づいていることについてユーザーに警告したり、警告したりすることはありませんでした。有効期限が切れる15日前に警告していたようです。

クライアントの範囲:WinXP、WinVista、Win7、およびServer 2008R2リモートデスクトップサービス。

ユーザーに有効期限が警告されていることを確認するにはどうすればよいですか?

プロンプトが出されなかったユーザーのポリシーの結果セット:

Account Policies/Password Policy 
  Policy                    Setting                      Winning GPO 
  Enforce password history  10 passwords remembered      Default Domain Policy 
  Maximum password age      270 days                     Default Domain Policy 
  Minimum password age      0 days                       Default Domain Policy 
  Minimum password length   4 characters                 Default Domain Policy 
  Password must meet complexity requirements Disabled    Default Domain Policy 
  Store passwords using reversible encryption Disabled   Default Domain Policy 

Account Policies/Account Lockout Policy
  Policy                              Setting                   Winning GPO 
  Account lockout duration            20 minutes                Default Domain Policy 
  Account lockout threshold           5 invalid logon attempts  Default Domain Policy 
  Reset account lockout counter after 15 minutes                Default Domain Policy 

Local Policies/Audit Policy
  Policy Setting Winning GPO 
  Audit account logon events           Failure             Default Domain Policy 
  Audit account management             Success, Failure    Default Domain Policy 
  Audit directory service access       Success, Failure    Default Domain Policy 
  Audit logon events                   Failure             Default Domain Policy 
  Audit policy change                  Success, Failure    Default Domain Policy 
  Audit privilege use                  Failure             Default Domain Policy 

Local Policies/Security Options
  Interactive Logon
    Policy             Setting                                                    Winning GPO 
    Interactive logon: Prompt user to change password before expiration 7 days    Default Domain Policy 
1
scooter133

パスワードの期限切れを警告するポリシーを設定しましたか?コンピューターの構成-> Windows設定->セキュリティ設定->ローカルポリシー->セキュリティオプション->対話型ログオン:ユーザーに有効期限が切れる前にパスワードの変更を要求する

ここで、ユーザーがパスワードの有効期限が切れるという警告を受け始めるまでの日数(デフォルトは14)を設定します...

これがお役に立てば幸いです。

6
Glenn Sullivan

多数の従業員が遠隔地にいて、オフィスに来ない(またはめったにオフィスに来ない)場合は、DirectAccessを調べることをお勧めします。これはバックグラウンドで機能する自動VPN接続であるため、ユーザーがオフィスに接続していないときに、グループポリシーの更新、パスワードの変更などをすべて行うことができます。基本的に、必要に応じて自動的にVPNに接続し、必要な更新を取得して切断します。

0
mrdenny