Nalandial Asked: 2009-06-17 16:37:52 +0800 CST2009-06-17 16:37:52 +0800 CST 2009-06-17 16:37:52 +0800 CST 更改组策略后帐户密码仍然过期 772 假设我有一个组策略,将最大密码期限设置为 90 天。有些用户 91 天没有更改密码,所以他们的密码应该过期了。 如果我随后删除该组策略以使最大密码年龄未定义,该帐户是否仍会过期?换句话说,当该用户再次登录时,是否仍需要更改密码? 我认为不会,但我似乎在我们的域控制器上观察到完全相反的行为;也就是说,在我更改组策略设置并使用密码已过期的帐户登录后,我仍然会收到有关它的提示。 有没有人确定这两种方式,还是我还缺少其他东西? windows-server-2003 group-policy password 2 个回答 Voted Best Answer Jack B Nimble 2009-06-17T17:06:07+08:002009-06-17T17:06:07+08:00 一旦密码过期,就是这样。他们将被提示更改它。即使您更改组策略。原因是该帐户设置了一个标志,上面写着“下次登录时更改密码” 您可以进入用户和组管理器并将用户设置回未过期的密码。 Gostega 2021-02-15T19:46:15+08:002021-02-15T19:46:15+08:00 这让我很难过,很难用谷歌搜索,所以我发布了我在这个问题上找到的答案,因为它是唯一的结果之一。 我的问题与 OP 非常相似,我试图完全禁用密码过期,并尝试通过在默认域策略中设置Default Domain Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Account Policy > Password Policy > Max Password Age为来做到这一点。Undefined在接下来的几个月里,用户密码仍然过期,我仔细检查了组策略结果并rsop.msc多次尝试追踪它。 最后我发现要禁用密码过期,您需要设置Max Password Policy为Enabledwith value 0 days(而不是Undefined)(根据解释选项卡上的文档 - derp)。 帮助我得出这个结论的是使用此查询检查所有帐户密码的到期情况: Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} ` –Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; ` Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT 结果看起来像这样 PS C:\Windows\system32> Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} ` >> –Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" | >> Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; ` >> Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT SamAccountName Password Expiry Date -------------- -------------------- Administrator 2021-08-03 2:19:56 PM User1.Surname1 2021-08-14 9:19:46 AM User2.Surname2 2021-08-07 8:22:44 AM User3.Surname3 2021-08-01 9:49:09 AM User4.Surname4 2021-08-14 9:30:55 AM etc. 将策略更新为 后Enabled - 0 days,我再次运行查询,这次结果显示任何帐户都没有过期。 SamAccountName Password Expiry Date -------------- -------------------- Administrator User1.Surname1 User2.Surname2 User3.Surname3 User4.Surname4 etc.
一旦密码过期,就是这样。他们将被提示更改它。即使您更改组策略。原因是该帐户设置了一个标志,上面写着“下次登录时更改密码”
您可以进入用户和组管理器并将用户设置回未过期的密码。
这让我很难过,很难用谷歌搜索,所以我发布了我在这个问题上找到的答案,因为它是唯一的结果之一。
我的问题与 OP 非常相似,我试图完全禁用密码过期,并尝试通过在默认域策略中设置
Default Domain Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Account Policy > Password Policy > Max Password Age为来做到这一点。Undefined在接下来的几个月里,用户密码仍然过期,我仔细检查了组策略结果并rsop.msc多次尝试追踪它。最后我发现要禁用密码过期,您需要设置
Max Password Policy为Enabledwith value0 days(而不是Undefined)(根据解释选项卡上的文档 - derp)。帮助我得出这个结论的是使用此查询检查所有帐户密码的到期情况:
结果看起来像这样
将策略更新为 后
Enabled - 0 days,我再次运行查询,这次结果显示任何帐户都没有过期。