Active-Directory

組策略“密碼最長使用期限”無法應用

  • May 19, 2020

在我的所有 AD 伺服器(仍然)執行 Windows 2003 的 Windows 網路中,我遇到以下問題:“密碼最長使用期限”策略顯然不適用。儘管確實有一些使用者被要求定期更改密碼,但顯然很多使用者並沒有被要求這樣做。passwordLastSet <=對兩年前(!)、lastlogonTimestamp >=三週前的使用者進行快速 LDAP 搜尋,並且userAccountControl=512(這個神秘的條件尤其意味著Password never expires未選中復選框)給了我一個大約 70 個(!)使用者的列表。我可能會在下次登錄時手動要求他們更改密碼,但我更願意看到密碼使用期限策略發揮作用(我讓它們保持不變以獲取策略有效的指示)。

我以為我知道在哪裡配置這個:在預設域策略Maximum password age,句點。

出於絕望,我發瘋了以下內容,根據文件不應該有幫助(但至少它也不應該有害,應該嗎?):由於“預設域策略”中的設置 - 顯然 - 沒有效果,我在各種情況下可能產生影響的所有策略對像都做了相應的設置,即“預設域控制器策略”、“

$$ COMPANY $$域策略", “$$ COMPANY $$DC 政策”, “$$ COMPANY $$電腦策略”(我猜這些名稱很好地暗示了它們的範圍)但沒有任何幫助。概述一下:人們首先登錄他們的 PC,這可以是任何版本的 Windows,從 8.1 到一些甚至仍在執行XP(並且正在被轉儲)。在這裡,它們要麼在本地工作,要麼主要登錄到 RDP 伺服器,這些伺服器都執行 Windows 2008R2;後一種登錄另外受特定的“$$ COMPANY $$TS Loopback Policy”,其中我還添加了 maxpassword 年齡設置 - 沒有成功。畢竟,登錄到本地 PC 應該已經觸發了過期。 換句話說,我不知道這背後的問題可能是什麼,非常感謝幫助。與此同時,這幾個月來一直困擾著我,事實上現在它正在成為一種日益嚴重的痛苦(參見第一段中發現的實際密碼年齡!!)。雖然我們急切地想要遷移 AD 版本並且這可能會解決作為副作用的問題,但如果可以在開始遷移之前解決這個問題(並且可能會導入一個深深隱藏的問題),我們會更高興。

查看 ADSIEDIT 中的域對象。我懷疑您會發現 maxPwdAge 屬性設置為 0。清除該值並刷新 DC 上的策略,您應該會看到密碼過期。

我也遇到了類似的問題,但問題似乎出在“域控制器”OU 上的繼承塊上。

如果您有該塊,預設域策略將不會應用密碼設置。

您可以在此處閱讀 MS 頁面上的完整文章:https : //support.microsoft.com/en-ie/help/269236/changes-are-not-applied-when-you-change-the-password-policy

引用自:https://serverfault.com/questions/588579