我在 Azure AD DS 中有域用户。
我需要为其中一些用户设置不会过期的密码。
当我在域中的计算机上转到“Active Directory 用户和计算机”时,“密码永不过期”选项显示为灰色。
当我去office 365查看密码过期策略时,它被配置为密码永不过期。
当我查看我的一台机器的 GPO 时,我没有设置密码到期。
当我转到同一台机器并在 powershell 中运行 Get-ADUser 时,我得到:
但是,70 天后,用户的密码将过期(在 Windows Server 中),而不是用于登录 Office 365。
谁能指导我到发生这种情况的地方?我有点难过,需要尽快解决这个问题!
谢谢!
编辑 1:我是全局管理员。
如果用户使用他们的 Azure AD 帐户登录到 O365,那么调查应该从 Azure AD 前端开始。
目前尚不清楚用户密码验证发生在哪里:
我非常怀疑这是相关的,但因为 AADDS 上的过期密码不应该影响 O365:但也值得对此进行处理:https ://docs.microsoft.com/en-us/azure/active-directory-domain-服务/密码策略
您可能需要创建细粒度密码策略
首先,确保您已经创建了管理 VM:
https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-management-vm
您可以通过打开“Active Directory 管理中心和创建细粒度密码策略”来设置域中的密码策略。可以在此处找到指南:
https://activedirectorypro.com/create-fine-grained-password-policies/
您是否在 AD 和 Azure AD 之间使用目录同步 (AD Connect)?这是这里的关键问题。
如果用户帐户来自 AD,则密码过期(和一般身份验证)由您的本地 AD 管理;相反,如果用户帐户是 Azure AD 的本机帐户,则一切都从那里进行管理。
由于您在 ADUC 中显示了用户帐户的屏幕截图,因此我假设用户帐户存在于 AD 中并同步到 Azure AD;在这种情况下,从 AD 设置用户帐户属性(例如密码永不过期)是正确的;Azure AD 不会在其中发挥任何作用,因为本地 AD 是用户帐户信息的主要来源。
现在,为什么这些选项是灰色的?这看起来确实是一个权限问题;Active Directory 用户和计算机(简称 AUDC)很乐意让任何人(经过身份验证的)查看 AD 数据,但如果您不被允许执行操作,它将灰显甚至根本不显示。
如果您在 AD 中看到无法编辑的对象,或者您尝试编辑它并收到“拒绝访问”错误,这意味着您没有足够的权限来执行此操作。
当您是域管理员时(实际上是这样做的,因为 UAC 可能是一种皇家痛苦),您应该能够编辑任何东西。但这仍然是权限问题:域管理员可以编辑任何内容,因为这样做的权限会自动授予“域管理员”组。如果有人更改了 OU 或用户对象本身的权限并删除了默认的“域管理员具有完全控制权”访问权限,您将被阻止触摸它。
底线:检查用户对象(和/或它所在的 OU)的权限,并确保“域管理员”具有完全控制权。如果不是这样,就强行获取;始终允许域管理员拥有他们不拥有的任何东西的所有权。