私の顧客の子ドメインの1つで、ランダムなユーザー(のように見える)の多くが、「複雑さ」が原因でパスワードを変更できないという問題があります。ただし、次の場合には当てはまりません。
a)管理者が新しいパスワードにリセットする、または
b)ユーザーに「ログオン時にパスワードをリセットする必要がある」というフラグがあった
私がこれまでに試したこと:
GPO:パスワード設定を含むデフォルトのドメインポリシーのみがあります。設定は次のとおりです。
PDCのパスワードプロバイダー:レジストリ経由でカスタムパスワードプロバイダーを使用できることを読みました。すべてが動作するドメインで確認しました。デフォルトのようです。私が見たのはEveryoneIncludesAnonymous = 0
の設定だけでした。
ユーザーがPSOを作成した後も、ユーザーはPWを変更できず、configが機能するはずです。適用されていないようです。
PDCが利用可能
ドメインコントローラのSet-ADAccountPassword
も機能しませんでした。
ユーザーアカウントのセキュリティ記述子は問題ないようです。誰もがパスワードを変更する権利を持っています。
ADUCでは、ユーザープロパティは問題ありません。ユーザーはパスワードを変更できません= $ falseなど.
Net User /domain Myuser
の出力
User name cardm004
Full Name Cardman, Michael
Comment Test User
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 16.01.2017 13:14:58
Password expires Never
Password changeable 15.02.2017 13:14:58
Password required Yes
User may change password Yes
Workstations allowed All
Logon script login.cmd
User profile
Home directory
Last logon 18.01.2017 08:14:01
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
net accounts
の出力
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 37201
Minimum password length: 10
Length of password history maintained: 5
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: Workstation
私は今アイデアがありません。ユーザーがパスワードを変更できないのはなぜでしょうか。
更新
グループポリシーモデリングでは、ユーザーごとに構成が異なることがわかりました。 「パスワード設定」と「アカウントロックアウトポリシー」の部分は、パスワードを変更できないユーザーには表示されません。したがって、ドメインコントローラーでレプリケーションの問題がある可能性があると思います。 repadmin /showrepl
でレプリケーションステータスを確認したところ、結果は問題ありませんでした。 3つのドメインコントローラーすべてでsysvolのファイルの内容を確認しましたが、それらは同じです。そのため、どういうわけか、DCは最新ですが、コンピューターは構成を取得しません。
GPUpdate /force
とGPResult /r
、またはGPResult /h file.html
は見栄えがよく、エラーは表示されません。 GPUpdate /force
がエラーを変更しなかった後に再起動します。 GPResult /r
は正しいサイトを示し、高速接続を表示します。Default Domain Policy
(設定が行われた場所)は適用された状態で表示されます。
pdate 2追加のGPOを作成してパスワード設定を設定しました。そのために、コンピューターとユーザーアカウントをに移動してリンクしたOUを作成しました= GPO with enforced = $true
with OU。GPResult /h
は正しい適用構成を示し、Net User /domain testuser
は示しません。ローカルポリシー設定はGPOと同じです。
問題はまだ発生します。
pdate顧客はマイクロソフトでチケットをオープンしました。彼らにはまだ解決策はありませんが、GPに問題があるようであることがわかりました。ユーザーと彼のデバイスは、継承を無効にしてテストするために別のOUに移動されました。彼らは、いくつかのパスワード設定で新しいGPOをそれに適用しました。GPResult
は更新された設定を示しましたが、ユーザーはまだ自分のパスワードを変更できませんでした。
次に、GPリンクを削除して継承を再度有効にし、テストGPOの設定をシステムに残しました。 Default Domain Policyの設定は適用されず(テストGPOよりも低かった)、ユーザーは引き続きパスワードを変更できませんでした。
私はあなたを更新し続けます、多分あなたの1人はいつかこの問題に遭遇するか、またはマイクロソフトがする前に解決策を見つけます。
IIRCエラーは、パスワード変更の問題に関する一般的なエラーです。
あなたのコメントに基づいて:
ただし、次の場合には当てはまりません。
a)管理者が新しいパスワードにリセットする、または
b)ユーザーに「ログオン時にパスワードをリセットする必要がある」というフラグがあった
問題は、パスワードポリシーにMinimum Password Age
またはEnforce Password History
または両方。おそらく最初のものはここの犯人です。
編集:
あなたが見ることができるあなたの最新のアップデートに基づいて:
Password changeable 15.02.2017 13:14:58
これは、パスワードが30日間変更できないことを示しています。
これで、最小パスワード有効期間が0に設定されていると述べました。
これにより、2つの考えられる結論につながります。
アカウントまたはOUのいずれかがポリシーの継承をブロックしています...「ネットアカウント」で適切なポリシーが表示されているにもかかわらず、特定のユーザーはポリシーを適用していないようです。
継承をブロックし、適切な設定を取得していないDCがいくつかあります。ここを参照してください: https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable
GPO GPMCでブロックされていないことを確認して確認します。次に、DCユーザーが自分のコンピュータに対して認証していることを確認します、およびそのユーザーアカウント...すべて3つに「このオブジェクトの親からの継承可能なアクセス許可を含める」があります。
Net User /domain Myuser
コマンドの出力には、現在、パスワードの有効期間(31日)が反映されています。このユーザーのPSOを変更し、そのオブジェクトの最小パスワード有効期間を0に設定する必要があるようです。
また、PSOがユーザーまたはグループに正常に適用されたことを確認しましたか?そうであれば、ユーザーのADアカウントにmsDS-ResultantPSO
属性が入力されているはずです。これは、属性タブのADUCを使用するか、次のPowerShellコマンドを実行することで簡単に確認できます。
Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL
余談ですが、net accounts
を実行すると、ローカルコンピュータアカウントの設定が返されます。ローカルアカウント設定は、ドメインアカウント設定とは別に構成されます。
愚かな提案ですが、ユーザーのパスワードが要件を満たしていることを確認しましたか?
によると: https://technet.Microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx