none
关于AD密码最长使用期限策略疑问 RRS feed

  • Question

  • 微软同事好:

           这次由于疫情原因,我司大多数员工居家办公,使用的是公司分配的笔记本电脑, 在此期间个别员工密码过期(设置的密码有效策略90天),计算机提示需要更改密码,当员工ctrl+alt+del 修改之后,出现报错,无法从域控制器读取配置信息,因为计算机不可用,或者因为访问被拒绝。  是否需要将内网域控的kerberos 端口464/TCP/UDP发布到公网上去,保证客户端修改密码可以和域控通讯才能解决这个问题?还望指导


    • Edited by Bryan丶Song Sunday, 27 March 2022 3:38 AM 编辑
    Sunday, 27 March 2022 3:36 AM

Answers

All replies

  • 是否可以这样认为, 当客户端笔记本离开内网后,  用户虽然以域账号登陆,但优先认可的策略是本地策略,这样的话,修改本地策略中—密码最长使用期限为0   ,可临时解决这个问题。
    Sunday, 27 March 2022 3:53 AM
  • 您好!

    直接将内网用于认证端口开放到外网并不是我们推荐的做法,这种操作会有风险。关于您提到的更改本地组策略,由于之前的域策略已经应用上来,并且他的优先级高于本地的,所以,我觉得直接更改本地组策略也不适合。

    关于我们的场景,如果我们有VPN连到内网,我们可以使用本地帐号登录系统,连接VPN, 切换用户为域用户,更改密码。以下文章供您参考:
    https://social.technet.microsoft.com/Forums/windows/en-US/b723142a-33f5-4b02-95b1-5a5daac606b1/how-to-reset-password-of-user-while-not-connected-to-domain-using-local-admin-account?forum=w7itprosecurity

    Best regards.
    Crystal

    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    • Marked as answer by Bryan丶Song Tuesday, 29 March 2022 10:49 AM
    Monday, 28 March 2022 6:30 AM
  • 谢谢crystal。

    目前是通过VPN中开放域控Kerberos TCP/UDP 88, TCP/UDP 464端口解决了这个问题。

    Tuesday, 29 March 2022 10:49 AM
  • 感谢您的回复,很高兴我们的问题解决了。如果日后有什么我们可以帮忙的地方,欢迎您来论坛上贴。

    祝您工作愉快!

    Best regards.

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    Wednesday, 30 March 2022 1:23 AM