none
域账户无法连续修改两次密码 RRS feed

  • 问题

  • 环境

    服务端:Windows  server   2008  R2

    客户端:Windows  10   1903

    现象:

    域账户第一次通过本机ctrl+alt+del修改密码    正常

    域账户第二次通过本机ctrl+alt+del修改密码    报错    

    报错信息:

    无法更新密码,为新密码提供的值不符合字符域的长度、复杂度或历史要求

    备注:组策略 已开启了密码复杂性,最短使用时间设置为0天。组策略继承没有问题。

    2020年4月3日 2:47

全部回复

  • 你好,

    欢迎在此发帖!

    请问是所有用户都不能二次更改密码还是个别用户不能更改密码?

    密码策略是否是在默认域策略里部署的?

    如果是个别用户无法更改密码,请检查是否部署过FGPP策略。

    可使用命令:Get-ADFineGrainedPasswordPolicy

    更多信息请查看:https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adfinegrainedpasswordpolicy?view=win10-ps

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月3日 5:38
  • 全部域用户无法连续在客户端修改密码。(第一次修改正常)

    当过去24小时后,域账户可以在客户端再次进行一次密码修改

    感觉像是设置了最短时间时间,可以策略都检查过,是设置的0天。而且只有一个域测试。

    2020年4月7日 3:43
  • 你好,

    请问是否使用上面的命令检查过FGPP的配置?

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年4月8日 7:24
  • 怎么通过命令查看FGPP的配置?

    我在域控制器中没有找到Active Directory Administrative Center

    也没有看到OU中有密码设置容器

    输入Get-ADUserResultantPasswordPolicy  用户名     没有返回任何数值

    • 已编辑 俞斌 2020年4月8日 12:03
    2020年4月8日 11:21
  • 你好,

    输入命令时请注意格式是否正确,命令为POWERSHELL命令。

    另外可使用以下powershell命令再次确认默认策略是否正确:
    Get-ADDefaultDomainPasswordPolicy

    如果以上都没有问题,请确认密码是否符合要求,长度,复杂性,有无重复使用史等。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月9日 2:15
  • 你好,

     

    你的问题解决了吗?

    如果没有,请回复并告诉我们当前的情况,以便提供进一步的帮助。

     

    Hi,


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月13日 3:20
  • 通过命令修改密码是没有问题

    不过希望实现的是用户在客户端能自己通过ctrl+alt+del来完成密码修改

    目前用户在客户端还是只能修改一次,第二次修改就一直提示密码不符合复杂要求。

    但密码要求肯定是没有问题的。

    只能等第二天才能再次通过客户端修改密码

    2020年4月13日 9:14
  • 你好,

    通过您的描述,我的理解是密码可以通过DC更改,也可以在客户端使用命令更改,但是不可以在客户端使用ctrl+alt+del来实现二次更改,对吗?

    另外,这是发生在所有客户端的所有用户,对吗

    方便的话,可否提供一下下面命令的结果:

    Get-ADDefaultDomainPasswordPolicy

    Fan



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。




    2020年4月13日 9:45
  • 

    这是域控制器中运行后的结果。是设置了多元密码策略吗?

    2020年4月14日 14:29
  • 你好,

    命令结果显示您确实部署了密码最小周期 1天.

    所有只能24小时之后再改第二次。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。




    2020年4月15日 2:31
  • 这个怎么修改呢。我看组策略里面是没有的。其他地方有能关闭这个的吗?

    2020年4月16日 6:09
  • 你好,

    请在客户端以管理员身份运行CMD, Run:Gpresult /h report.html查看策略明细,判断是在哪一个GPO部署的密码策略。

    一般密码策略是在default domain policy 里面配置的。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。





    2020年4月16日 6:37
  • 你好,

     

    你的问题解决了吗?

     

    如果您使用我们的解决方案解决了它,请“标记为答复”以帮助其他社区成员快速找到有用的回复。

    如果您使用自己的解决方案解决问题,请在此处分享您的经验和解决方案。对于有类似问题的其他社区成员来说,这将非常有益。

    如果不是,请回复并告诉我们当前的情况,以便提供进一步的帮助。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月20日 8:43
  • 我看客户端的组策略显示已经变成0天的最小使用时间了。

    但是不明白Get-ADDefaultDomainPasswordPolicy结果为什么会显示1天

    2020年4月21日 3:48
  • 你好,

    我刚看了您的组策略配置。我您的环境里里建了一个名为password-renew的GPO,在此上面部署的密码策略。

    同一个域里只能有一个密码策略,密码略一般在default domain policy 里面部署。

    根据我的理解,这个新的GPO没有生效,被default domain policy 里面的策略覆盖了。你可以检查以下默认域策略的部署的密码策略,应该配置的最小密码周期是1.

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年4月21日 5:50
  • default domain policy和password-renew的GPO我都修改成最新密码周期是0了。

    不过现在出现客户端gpupdate /force时提示无法成功过更新用户策略。

    2020年4月22日 3:16
  • 你好,

    建议disable 掉password-renew的GPO,然后删除此GPO.

    密码策略属于计算机策略,不是用户策略。

    登录客户端,右击CMD,以administrator身份运行,然后运行GPUPDATE /FORCE,如果报错请截图。

    运行命令:Get-ADDefaultDomainPasswordPolicy

    右击CMD,以administrator身份运行,RUN gpresult /h report.html

    Fan



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月22日 5:05
  • 你好,域控制器的计算机全部移动server(OU)下,然后客户端的计算机在IT(OU)下,IT和server都是二级架构。

    然后我们修改了OU的组策略(修改了密码最短使用期限为0)

    客户端在结果集中显示密码最短使用期限为0,但是实际不生效。

    今天修改了域控制器的本地安全策略。发现客户端就能用了。

    组策略在优先级上来说不是OU的组策略最大吗?

    我修改了IT这个OU下的组策略理论上不是应该最后生效的是这个吗?怎么感觉最后是针对域控制器的本地安全策略生效的

    2020年4月24日 11:08
  • 你好,

    跟之前所说的一样,同一个域里只能有一个密码策略,密码略一般在default domain policy 里面部署,并且具有强制性,域里所有的计算机都会应用此策略。

    Ou下面的GPO里部署的组策略,只有在本地用户登录的时候才会被应用,域用户登录计算机只应用默认域策略的密码配置。

    组策略优先级对于密码策略不适用。

    所以你描述的情况是一种正常的现象。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月27日 9:20