我的 AD 域中有一位用户似乎无法自行选择密码。我可能还有另一个,但它们的密码到期时间表完全不同,我现在不记得它是谁了。
我可以很好地通过 ADU&C 设置密码,但是当他通过 CAD 尝试时,他收到“不符合复杂性”的消息。弄清楚他只是在做类似“pAssword32”的事情,我自己做了一些故障排除,果然它不想那样接受密码。
他是我们的用户之一,习惯性地使用本地帐户,然后使用他的 AD 凭据映射驱动器,这样他就不会得到你的密码将在 4 天后过期,也许你应该更改它的提示,所以他经常出现“我的密码已过期,你能修好它吗?”传单。
我不想让他每隔 N 天就通过 ADU&C 在我肩上设置它。我很好地设置了 48 个键盘敲击字符的临时密码,并让他更改它一些令人难忘的东西。
我的环境处于 Windows 2008 R2 功能级别,并且我正在使用细粒度密码策略。事实上,我有两个这样的政策:
- 对于普通用户(最小长度,记住密码)
- 对于特殊公用事业账户
我试过的密码复杂性与长度和字符集选择的策略相匹配。
User 对象本身的权限看起来正常,SELF 确实具有“更改密码”权限。
还有其他地方我应该寻找可以影响这个的东西吗?
事实证明,我在设置细粒度密码策略时观察力不够,过于偏执,或者可能有点...... BOFHy。仔细观察它们(ADSI 编辑不是一个很好的界面,太多其他东西)我注意到我设置了最低密码年龄。
显然,admin-resets 确实将这个老化计时器重置为零。
显然,当重置密码为时过早时,Windows 会报告密码复杂性错误。
除非我想改变它,否则我的“重置我!” 用户将不得不忍受(例如)2 天不可能记住但非常长的密码 dunce-cap,然后才能将其设置为他们能记住的东西。
也许这只是我需要的锤子来敦促他们直接注册域帐户。