web-dev-qa-db-ja.com

複雑なため、ユーザーはパスワードを変更できません

私の顧客の子ドメインの1つで、ランダムなユーザー(のように見える)の多くが、「複雑さ」が原因でパスワードを変更できないという問題があります。ただし、次の場合には当てはまりません。

a)管理者が新しいパスワードにリセットする、または

b)ユーザーに「ログオン時にパスワードをリセットする必要がある」というフラグがあった

私がこれまでに試したこと:

  1. GPO:パスワード設定を含むデフォルトのドメインポリシーのみがあります。設定は次のとおりです。

    • 長さ10
    • 複雑さが有効
    • 履歴は5に設定されていますが、この場合は関係ありません(別のパスワードを試しました)
    • その他はすべて未定義または0

  2. PDCのパスワードプロバイダー:レジストリ経由でカスタムパスワードプロバイダーを使用できることを読みました。すべてが動作するドメインで確認しました。デフォルトのようです。私が見たのはEveryoneIncludesAnonymous = 0の設定だけでした。

  3. ユーザーがPSOを作成した後も、ユーザーはPWを変更できず、configが機能するはずです。適用されていないようです。

  4. PDCが利用可能

  5. ドメインコントローラのSet-ADAccountPasswordも機能しませんでした。

  6. ユーザーアカウントのセキュリティ記述子は問題ないようです。誰もがパスワードを変更する権利を持っています。

  7. ADUCでは、ユーザープロパティは問題ありません。ユーザーはパスワードを変更できません= $ falseなど.

Net User /domain Myuserの出力

User name                    cardm004
Full Name                    Cardman, Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

net accountsの出力

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

私は今アイデアがありません。ユーザーがパスワードを変更できないのはなぜでしょうか。

更新

グループポリシーモデリングでは、ユーザーごとに構成が異なることがわかりました。 「パスワード設定」と「アカウントロックアウトポリシー」の部分は、パスワードを変更できないユーザーには表示されません。したがって、ドメインコントローラーでレプリケーションの問題がある可能性があると思います。 repadmin /showreplでレプリケーションステータスを確認したところ、結果は問題ありませんでした。 3つのドメインコントローラーすべてでsysvolのファイルの内容を確認しましたが、それらは同じです。そのため、どういうわけか、DCは最新ですが、コンピューターは構成を取得しません。

GPUpdate /forceGPResult /r、またはGPResult /h file.htmlは見栄えがよく、エラーは表示されません。 GPUpdate /forceがエラーを変更しなかった後に再起動します。 GPResult /rは正しいサイトを示し、高速接続を表示します。Default Domain Policy(設定が行われた場所)は適用された状態で表示されます。

pdate 2追加のGPOを作成してパスワード設定を設定しました。そのために、コンピューターとユーザーアカウントをに移動してリンクしたOUを作成しました= GPO with enforced = $true with OU。GPResult /hは正しい適用構成を示し、Net User /domain testuserは示しません。ローカルポリシー設定はGPOと同じです。

問題はまだ発生します。

pdate顧客はマイクロソフトでチケットをオープンしました。彼らにはまだ解決策はありませんが、GPに問題があるようであることがわかりました。ユーザーと彼のデバイスは、継承を無効にしてテストするために別のOUに移動されました。彼らは、いくつかのパスワード設定で新しいGPOをそれに適用しました。GPResultは更新された設定を示しましたが、ユーザーはまだ自分のパスワードを変更できませんでした。

次に、GPリンクを削除して継承を再度有効にし、テストGPOの設定をシステムに残しました。 Default Domain Policyの設定は適用されず(テストGPOよりも低かった)、ユーザーは引き続きパスワードを変更できませんでした。

私はあなたを更新し続けます、多分あなたの1人はいつかこの問題に遭遇するか、またはマイクロソフトがする前に解決策を見つけます。

windowsactive-directorypassword
7
restless1987

IIRCエラーは、パスワード変更の問題に関する一般的なエラーです。

あなたのコメントに基づいて:

ただし、次の場合には当てはまりません。

a)管理者が新しいパスワードにリセットする、または

b)ユーザーに「ログオン時にパスワードをリセットする必要がある」というフラグがあった

問題は、パスワードポリシーにMinimum Password AgeまたはEnforce Password History または両方。おそらく最初のものはここの犯人です。

編集:

あなたが見ることができるあなたの最新のアップデートに基づいて:

Password changeable 15.02.2017 13:14:58

これは、パスワードが30日間変更できないことを示しています。

これで、最小パスワード有効期間が0に設定されていると述べました。

これにより、2つの考えられる結論につながります。

  1. アカウントまたはOUのいずれかがポリシーの継承をブロックしています...「ネットアカウント」で適切なポリシーが表示されているにもかかわらず、特定のユーザーはポリシーを適用していないようです。

  2. 継承をブロックし、適切な設定を取得していないDCがいくつかあります。ここを参照してください: https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable

GPO GPMCでブロックされていないことを確認して確認します。次に、DCユーザーが自分のコンピュータに対して認証していることを確認します、およびそのユーザーアカウント...すべて3つに「このオブジェクトの親からの継承可能なアクセス許可を含める」があります。

14
TheCleaner

Net User /domain Myuserコマンドの出力には、現在、パスワードの有効期間(31日)が反映されています。このユーザーのPSOを変更し、そのオブジェクトの最小パスワード有効期間を0に設定する必要があるようです

また、PSOがユーザーまたはグループに正常に適用されたことを確認しましたか?そうであれば、ユーザーのADアカウントにmsDS-ResultantPSO属性が入力されているはずです。これは、属性タブのADUCを使用するか、次のPowerShellコマンドを実行することで簡単に確認できます。

Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL

余談ですが、net accountsを実行すると、ローカルコンピュータアカウントの設定が返されます。ローカルアカウント設定は、ドメインアカウント設定とは別に構成されます。

3
SturdyErde

愚かな提案ですが、ユーザーのパスワードが要件を満たしていることを確認しましたか?

  1. パスワードには、ユーザーの全体samAccountName(アカウント名)の値または全体displayName(フルネーム)の値。どちらのチェックでも大文字と小文字は区別されません。
    • samAccountNameは、それがパスワードの一部であるかどうかを判断するためだけに完全にチェックされます。 samAccountNameが3文字未満の場合、このチェックはスキップされます。
    • displayNameは、区切り文字(コンマ、ピリオド、ダッシュまたはハイフン、アンダースコア、スペース、ポンド記号、タブ)が解析されます。これらの区切り文字のいずれかが見つかると、displayNameが分割され、解析されたすべてのセクション(トークン)がパスワードに含まれていないことが確認されます。長さが3文字未満のトークンは無視され、トークンのサブストリングはチェックされません。たとえば、「Erin M. Hagens」という名前は、「Erin」、「M」、「Hagens」の3つのトークンに分割されます。 2番目のトークンは1文字しかないため、無視されます。したがって、このユーザーは、「erin」または「hagens」のいずれかをサブストリングとしてパスワードのどこかに含むパスワードを持つことはできません。
  2. パスワードには、次の5つのカテゴリのうち3つからの文字を含める必要があります。
    • ヨーロッパ言語の大文字(A 使って Z、発音区別符号付き、ギリシャ文字およびキリル文字)
    • ヨーロッパ言語の小文字(a 使って z、sharp-s、分音記号、ギリシャ文字およびキリル文字)
    • 基数10桁( 使って 9
    • 英数字以外の文字: ~!@#$%^&*_-+=`|\(){}[]:;"',.?/
    • 英字に分類されるが、大文字でも小文字でもない任意のUnicode文字。これにはアジア言語のUnicode文字が含まれます

によると: https://technet.Microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx

0
Slipeer