在我的所有 AD 服务器(仍然)运行 Windows 2003 的 Windows 网络中,我遇到了以下问题:“密码最长使用期限”策略显然不适用。尽管确实有一些用户被要求定期更改密码,但显然很多用户并没有被要求这样做。passwordLastSet <=对两年前(!)、lastlogonTimestamp >=三周前的用户进行快速 LDAP 搜索,并且userAccountControl=512(这个神秘的条件意味着特别Password never expires是未选中复选框)给了我一个大约 70 个(!)用户的列表。我可能会在下次登录时手动要求他们更改密码,但我更愿意看到密码年龄策略发挥作用(我让它们保持不变,以了解策略是否有效)。
我以为我知道在哪里配置这个:在默认域策略下Maximum password age,句点。
出于绝望,我发疯了以下内容,根据文档不应该有帮助(但至少它也不应该有害,应该吗?):由于“默认域策略”中的设置 - 显然 - 没有效果,我对在各种情况下可能产生影响的所有策略对象进行了相应的设置,即“默认域控制器策略”、“[COMPANY]域策略”、“[COMPANY] DC Policy”、“[COMPANY] Computers Policy”(我猜这些名字很好地暗示了它们的作用域)但没有任何帮助。概述:人们首先登录到他们的 PC,这可能是任何版本的 Windows,从 8.1 到一些甚至仍在运行 XP(并且正在被转储)。在这里,他们要么在本地工作,要么主要登录到 RDP 服务器,均运行 Windows 2008R2;后一种登录还受特定的“[COMPANY] TS Loopback Policy”的约束,我在其中还添加了 maxpassword 年龄设置 - 没有成功。毕竟,登录到本地 PC 应该已经触发了过期。
换句话说,我不知道这背后的问题可能是什么,非常感谢帮助。与此同时,这几个月来一直困扰着我,事实上现在它正在成为一种日益严重的痛苦(参见第一段中发现的实际密码年龄!!)。虽然我们急切地想要迁移 AD 版本并且这可能会解决作为副作用的问题,但如果可以在开始迁移之前解决这个问题(并且可能会导入一个深深隐藏的问题),我们会更高兴。
查看 ADSIEDIT 中的域对象。我怀疑您会发现 maxPwdAge 属性设置为 0。清除该值并刷新 DC 上的策略,您应该会看到密码过期。
我也遇到了类似的问题,但问题似乎出在“域控制器”OU 上的继承块上。
如果您有该块,默认域策略将不会应用密码设置。
您可以在此处阅读 MS 页面上的完整文章:https : //support.microsoft.com/en-ie/help/269236/changes-are-not-applied-when-you-change-the-password-policy
上面的 Hagen von Eitzen 正确地注意到了房间里的大象。如果 ADUC 勾选了用户复选框“密码永不过期”,GPO 将无法覆盖并强制用户更改其密码。必须取消选中此框!