Remove From My Forums

关于AD密码最长使用期限策略疑问

问题
0

登录进行投票
微软同事好：

这次由于疫情原因，我司大多数员工居家办公，使用的是公司分配的笔记本电脑，在此期间个别员工密码过期（设置的密码有效策略90天），计算机提示需要更改密码，当员工ctrl+alt+del 修改之后，出现报错，无法从域控制器读取配置信息，因为计算机不可用，或者因为访问被拒绝。是否需要将内网域控的kerberos 端口464/TCP/UDP发布到公网上去，保证客户端修改密码可以和域控通讯才能解决这个问题？还望指导
- 已编辑 Bryan丶Song 2022年3月27日 3:38 编辑
2022年3月27日 3:36

回复

|

引用

答案

0

登录进行投票
您好！

直接将内网用于认证端口开放到外网并不是我们推荐的做法,这种操作会有风险。关于您提到的更改本地组策略，由于之前的域策略已经应用上来，并且他的优先级高于本地的，所以，我觉得直接更改本地组策略也不适合。

关于我们的场景，如果我们有VPN连到内网，我们可以使用本地帐号登录系统，连接VPN，切换用户为域用户，更改密码。以下文章供您参考：
https://social.technet.microsoft.com/Forums/windows/en-US/b723142a-33f5-4b02-95b1-5a5daac606b1/how-to-reset-password-of-user-while-not-connected-to-domain-using-local-admin-account?forum=w7itprosecurity

Best regards.
Crystal
本帖子以”现状”提供且没有任何担保，同时也没有授予任何权利。如果您的问题得到解答，请在登录后将此回复标记为“答案”，非常感谢您的支持。
- 已标记为答案 Bryan丶Song 2022年3月29日 10:49
2022年3月28日 6:30

回复

|

引用

全部回复

0

登录进行投票

是否可以这样认为，当客户端笔记本离开内网后，用户虽然以域账号登陆，但优先认可的策略是本地策略，这样的话，修改本地策略中—密码最长使用期限为0 ，可临时解决这个问题。

2022年3月27日 3:53

回复

|

引用
0

登录进行投票
您好！

直接将内网用于认证端口开放到外网并不是我们推荐的做法,这种操作会有风险。关于您提到的更改本地组策略，由于之前的域策略已经应用上来，并且他的优先级高于本地的，所以，我觉得直接更改本地组策略也不适合。

关于我们的场景，如果我们有VPN连到内网，我们可以使用本地帐号登录系统，连接VPN，切换用户为域用户，更改密码。以下文章供您参考：
https://social.technet.microsoft.com/Forums/windows/en-US/b723142a-33f5-4b02-95b1-5a5daac606b1/how-to-reset-password-of-user-while-not-connected-to-domain-using-local-admin-account?forum=w7itprosecurity

Best regards.
Crystal
本帖子以”现状”提供且没有任何担保，同时也没有授予任何权利。如果您的问题得到解答，请在登录后将此回复标记为“答案”，非常感谢您的支持。
- 已标记为答案 Bryan丶Song 2022年3月29日 10:49
2022年3月28日 6:30

回复

|

引用
0

登录进行投票

谢谢crystal。

目前是通过VPN中开放域控Kerberos TCP/UDP 88， TCP/UDP 464端口解决了这个问题。

2022年3月29日 10:49

回复

|

引用
0

登录进行投票

感谢您的回复，很高兴我们的问题解决了。如果日后有什么我们可以帮忙的地方，欢迎您来论坛上贴。

祝您工作愉快！

Best regards.

Crystal
本帖子以”现状”提供且没有任何担保，同时也没有授予任何权利。如果您的问题得到解答，请在登录后将此回复标记为“答案”，非常感谢您的支持。

2022年3月30日 1:23

回复

|

引用

积极答复者

关于AD密码最长使用期限策略疑问

问题

答案

全部回复