web-dev-qa-db-ja.com

Active Directory:ユーザーは次回のログオン時にパスワードを変更する必要があり、ユーザーがログインできないようにします

Active DirectoryまたはWindows Server 2008Windows Server 2012でユーザーパスワードをリセットし、オプションUser must change password at next logonをオンにすると、ユーザーがログインできなくなります。

ただし、このオプションをチェックせずにパスワードをリセットしてアカウントのロックを解除すると、ユーザーは正常にログインできます。これは明らかにセキュリティの問題を少し提示します。

私はこれがなぜ起こっているのかを知るのに十分なADに精通していません、誰かがこれを以前に見たことがありますか?

1

このようなものを見たのは、ユーザーがログインしていない限り特定のポートのみを許可するNACエージェントを展開したときだけでした。基本的に、ネットワークサービスはポートのログインを許可していましたが、パスワードの変更に必要なポートをブロックしていました。

ある種の同様の製品を使用している場合、または同様の状況にある場合は、LDAPポート(389および636)に加えてポート464が開いていることを確認する必要があります。 ADポートの完全なリストはここにあります: http://technet.Microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspx

1
  1. Tsconfig.mscを実行します
  2. RDP接続「RDP-Tcp」を右クリックし、「プロパティ」をクリックします
  3. [全般]タブで、セキュリティレイヤーを[RDPセキュリティレイヤー]に変更します
0
Jacob

ドメインの機能レベルは2012年ですか?パスワードポリシーにパスワードの有効期限のエントリが定義されているようです。 (2012年には、ユーザーがデフォルトでパスワードを変更するのに1日待つ必要があると定められていると思います。)グループポリシーのパスワード設定を確認する必要があります。

http://technet.Microsoft.com/en-us/library/hh994572(v = ws.10).aspx

0
DanBig