我发现 ADFS updatepassword 页面有一个奇怪的问题。我们正在批量创建用户,他们正在尝试更改密码。但是,大约 50% 的帐户无法更改其密码,会记录以下事件:
以下用户的密码更改失败:
附加数据
用户:域\用户名
设备证书:
尝试更改密码的服务器:ad01.ad.domain 错误详细信息:NewPasswordHistConflict
该错误表明密码与以前的密码相同,但我们已经测试了几个不同的密码,仍然得到相同的错误。我找不到有问题的帐户和没有问题的帐户之间有什么特别的共同点。
用户是使用此 Powershell 行创建的:
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName`
-GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath`
-UserPrincipalName "[email protected]" -AccountPassword $securePassword `
-Enabled $true
有任何想法吗?域控制器和 ADFS 是 Windows 2012R2。
由于最低密码年龄政策,我已经看到了这些类型的问题(尽管不是那个特定的问题)。如果设置为 1 天,则意味着一旦用户更改了密码,他们将在 1 天内无法再次更改。
因此,当您批量创建时,您需要一个虚拟密码,因为您无法创建没有密码的用户,然后用户在同一天更改密码等。
我对使用 ADFS 更改密码不是很熟悉,但根据我的经验,AD 并没有具体说明新密码被拒绝的原因。新密码违反密码策略的某些方面(历史、复杂性、长度、最小年龄等)通常只是一个错误。
不过,为了排除故障,我可能会尝试暂时修改您的密码策略。首先将记住的密码值设置为 0,这样密码历史记录就不再是问题了。如果这不能解决问题,请继续一次放宽策略设置,直到您的失败消失并且您有望解决真正的问题。