Remove From My Forums

域账户无法连续修改两次密码

问题
0

登录进行投票

环境

服务端：Windows server 2008 R2

客户端：Windows 10 1903

现象：

域账户第一次通过本机ctrl+alt+del修改密码正常

域账户第二次通过本机ctrl+alt+del修改密码报错

报错信息：

无法更新密码,为新密码提供的值不符合字符域的长度、复杂度或历史要求

备注：组策略已开启了密码复杂性，最短使用时间设置为0天。组策略继承没有问题。

2020年4月3日 2:47

回复

|

引用

全部回复

0

登录进行投票
你好，

欢迎在此发帖！

请问是所有用户都不能二次更改密码还是个别用户不能更改密码？

密码策略是否是在默认域策略里部署的？

如果是个别用户无法更改密码，请检查是否部署过FGPP策略。

可使用命令：Get-ADFineGrainedPasswordPolicy

更多信息请查看：https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adfinegrainedpasswordpolicy?view=win10-ps

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月3日 5:39
2020年4月3日 5:38

回复

|

引用
0

登录进行投票

全部域用户无法连续在客户端修改密码。（第一次修改正常）

当过去24小时后，域账户可以在客户端再次进行一次密码修改

感觉像是设置了最短时间时间，可以策略都检查过，是设置的0天。而且只有一个域测试。

2020年4月7日 3:43

回复

|

引用
0

登录进行投票
你好，

请问是否使用上面的命令检查过FGPP的配置？

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月9日 2:15
2020年4月8日 7:24

回复

|

引用
0

登录进行投票
怎么通过命令查看FGPP的配置？

我在域控制器中没有找到Active Directory Administrative Center

也没有看到OU中有密码设置容器

输入Get-ADUserResultantPasswordPolicy 用户名没有返回任何数值
- 已编辑俞斌 2020年4月8日 12:03
2020年4月8日 11:21

回复

|

引用
0

登录进行投票
你好，

输入命令时请注意格式是否正确，命令为POWERSHELL命令。

另外可使用以下powershell命令再次确认默认策略是否正确：
Get-ADDefaultDomainPasswordPolicy

如果以上都没有问题，请确认密码是否符合要求，长度，复杂性，有无重复使用史等。

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月9日 2:16
2020年4月9日 2:15

回复

|

引用
0

登录进行投票
你好，

你的问题解决了吗？

如果没有，请回复并告诉我们当前的情况，以便提供进一步的帮助。

Hi,

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月13日 3:21
2020年4月13日 3:20

回复

|

引用
0

登录进行投票

通过命令修改密码是没有问题

不过希望实现的是用户在客户端能自己通过ctrl+alt+del来完成密码修改

目前用户在客户端还是只能修改一次，第二次修改就一直提示密码不符合复杂要求。

但密码要求肯定是没有问题的。

只能等第二天才能再次通过客户端修改密码

2020年4月13日 9:14

回复

|

引用
0

登录进行投票
你好，

通过您的描述，我的理解是密码可以通过DC更改，也可以在客户端使用命令更改，但是不可以在客户端使用ctrl+alt+del来实现二次更改，对吗？

另外，这是发生在所有客户端的所有用户，对吗

方便的话，可否提供一下下面命令的结果：

Get-ADDefaultDomainPasswordPolicy

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月13日 9:46
2020年4月13日 9:45

回复

|

引用
0

登录进行投票

这是域控制器中运行后的结果。是设置了多元密码策略吗？

2020年4月14日 14:29

回复

|

引用
0

登录进行投票
你好，

命令结果显示您确实部署了密码最小周期 1天.

所有只能24小时之后再改第二次。

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月15日 2:32
2020年4月15日 2:31

回复

|

引用
0

登录进行投票

这个怎么修改呢。我看组策略里面是没有的。其他地方有能关闭这个的吗？

2020年4月16日 6:09

回复

|

引用
0

登录进行投票
你好，

请在客户端以管理员身份运行CMD, Run:Gpresult /h report.html查看策略明细，判断是在哪一个GPO部署的密码策略。

一般密码策略是在default domain policy 里面配置的。

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月16日 6:37
- 已建议为答案 flingminMicrosoft contingent staff 2020年4月20日 8:43
- 取消建议作为答案俞斌 2020年4月21日 3:43
2020年4月16日 6:37

回复

|

引用
0

登录进行投票
你好，

你的问题解决了吗？

如果您使用我们的解决方案解决了它，请“标记为答复”以帮助其他社区成员快速找到有用的回复。

如果您使用自己的解决方案解决问题，请在此处分享您的经验和解决方案。对于有类似问题的其他社区成员来说，这将非常有益。

如果不是，请回复并告诉我们当前的情况，以便提供进一步的帮助。

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月20日 8:43
2020年4月20日 8:43

回复

|

引用
0

登录进行投票

2020年4月21日 3:46

回复

|

引用
0

登录进行投票

2020年4月21日 3:47

回复

|

引用
0

登录进行投票

我看客户端的组策略显示已经变成0天的最小使用时间了。

但是不明白Get-ADDefaultDomainPasswordPolicy结果为什么会显示1天

2020年4月21日 3:48

回复

|

引用
0

登录进行投票
你好，

我刚看了您的组策略配置。我您的环境里里建了一个名为password-renew的GPO，在此上面部署的密码策略。

同一个域里只能有一个密码策略，密码略一般在default domain policy 里面部署。

根据我的理解，这个新的GPO没有生效，被default domain policy 里面的策略覆盖了。你可以检查以下默认域策略的部署的密码策略，应该配置的最小密码周期是1.

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月21日 5:51
- 已建议为答案 flingminMicrosoft contingent staff 2020年4月24日 8:12
2020年4月21日 5:50

回复

|

引用
0

登录进行投票

default domain policy和password-renew的GPO我都修改成最新密码周期是0了。

不过现在出现客户端gpupdate /force时提示无法成功过更新用户策略。

2020年4月22日 3:16

回复

|

引用
0

登录进行投票
你好，

建议disable 掉password-renew的GPO，然后删除此GPO.

密码策略属于计算机策略，不是用户策略。

登录客户端，右击CMD,以administrator身份运行，然后运行GPUPDATE /FORCE,如果报错请截图。

运行命令：Get-ADDefaultDomainPasswordPolicy

右击CMD,以administrator身份运行，RUN gpresult /h report.html

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月22日 5:05
2020年4月22日 5:05

回复

|

引用
0

登录进行投票

你好，域控制器的计算机全部移动server（OU）下，然后客户端的计算机在IT（OU）下，IT和server都是二级架构。

然后我们修改了OU的组策略（修改了密码最短使用期限为0）

客户端在结果集中显示密码最短使用期限为0，但是实际不生效。

今天修改了域控制器的本地安全策略。发现客户端就能用了。

组策略在优先级上来说不是OU的组策略最大吗？

我修改了IT这个OU下的组策略理论上不是应该最后生效的是这个吗？怎么感觉最后是针对域控制器的本地安全策略生效的

2020年4月24日 11:08

回复

|

引用
0

登录进行投票
你好，

跟之前所说的一样，同一个域里只能有一个密码策略，密码略一般在default domain policy 里面部署，并且具有强制性，域里所有的计算机都会应用此策略。

Ou下面的GPO里部署的组策略，只有在本地用户登录的时候才会被应用，域用户登录计算机只应用默认域策略的密码配置。

组策略优先级对于密码策略不适用。

所以你描述的情况是一种正常的现象。

Fan

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年4月27日 9:20
2020年4月27日 9:20

回复

|

引用

询问者

域账户无法连续修改两次密码

问题

无法更新密码,为新密码提供的值不符合字符域的长度、复杂度或历史要求

全部回复