Active Directory:ユーザーは次回のログオン時にパスワードを変更する必要があり、ユーザーがログインできないようにします
Active DirectoryまたはWindows Server 2008のWindows Server 2012でユーザーパスワードをリセットし、オプションUser must change password at next logonをオンにすると、ユーザーがログインできなくなります。
ただし、このオプションをチェックせずにパスワードをリセットしてアカウントのロックを解除すると、ユーザーは正常にログインできます。これは明らかにセキュリティの問題を少し提示します。
私はこれがなぜ起こっているのかを知るのに十分なADに精通していません、誰かがこれを以前に見たことがありますか?
このようなものを見たのは、ユーザーがログインしていない限り特定のポートのみを許可するNACエージェントを展開したときだけでした。基本的に、ネットワークサービスはポートのログインを許可していましたが、パスワードの変更に必要なポートをブロックしていました。
ある種の同様の製品を使用している場合、または同様の状況にある場合は、LDAPポート(389および636)に加えてポート464が開いていることを確認する必要があります。 ADポートの完全なリストはここにあります: http://technet.Microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspx
- Tsconfig.mscを実行します
- RDP接続「RDP-Tcp」を右クリックし、「プロパティ」をクリックします
- [全般]タブで、セキュリティレイヤーを[RDPセキュリティレイヤー]に変更します
ドメインの機能レベルは2012年ですか?パスワードポリシーにパスワードの有効期限のエントリが定義されているようです。 (2012年には、ユーザーがデフォルトでパスワードを変更するのに1日待つ必要があると定められていると思います。)グループポリシーのパスワード設定を確認する必要があります。
http://technet.Microsoft.com/en-us/library/hh994572(v = ws.10).aspx