複雑なためユーザーはパスワードを変更できません

tag-icon tag-icon windows active-directory password
複雑なためユーザーはパスワードを変更できません

私の顧客の子ドメインの 1 つでは、多数の (ように見える) ランダムなユーザーが「複雑さ」などの理由でパスワードを変更できないという問題があります。ただし、次の場合にはこれは当てはまりません。

a) 管理者が新しいパスワードにリセットするか、

b) ユーザーに「ログオン時にパスワードをリセットする必要がある」というフラグが設定されていた

これまで試したこと:

  1. GPO: パスワード設定を含むデフォルトのドメイン ポリシーのみがあります。設定は次のとおりです。

    • 長さ10
    • 複雑さを有効化
    • 履歴は 5 に設定されていますが、この場合は関係ありません (異なるパスワードを試しました)
    • それ以外は未定義または0

  2. PDC のパスワード プロバイダー: レジストリ経由でカスタム パスワード プロバイダーを使用できると読みました。すべてが機能するドメインで確認しました。デフォルトのようです。私が確認したのは設定だけですEveryoneIncludesAnonymous = 0

  3. 機能するはずの設定で PSO を作成した後も、ユーザーは PW を変更できませんでした。適用されなかったようです。

  4. PDCは利用可能

  5. Set-ADAccountPasswordドメイン コントローラー上でも機能しませんでした。

  6. ユーザー アカウントのセキュリティ記述子は問題なさそうです。すべてのユーザーにパスワードを変更する権限があります。

  7. ADUC では、ユーザー プロパティは正常です。ユーザーはパスワード = $false などを変更できません。

出力net user /domain Myuser

User name                    cardm004
Full Name                    Cardman, Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

出力net accounts

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

もうアイデアがありません。ユーザーがパスワードを変更できない理由を調べるには、何を試みればよいでしょうか?

アップデート

グループ ポリシー モデリングでは、ユーザーごとに異なる構成が表示されることがわかりました。パスワードを変更できないユーザーには、「パスワード設定」と「アカウント ロックアウト ポリシー」の部分は表示されません。したがって、ドメイン コントローラーでレプリケーションの問題が発生している可能性があると推測します。replicationstatus をチェックしたところrepadmin /showrepl、結果は正常でした。3 つのドメイン コントローラーすべてで sysvol のファイルの内容をチェックしましたが、それらは同一でした。つまり、DC は最新の状態ですが、コンピューターは構成を取得していません。

GPUpdate /forceおよびGPResult /r、または はGPResult /h file.html正常に表示され、エラーは表示されません。 再起動後もGPUpdate /forceエラーは変わりませんでした 。GPResult /r正しいサイトが表示され、高速接続が表示され、Default Domain Policy(設定が行われた場所) が適用されていると表示されます。

アップデート2 パスワード設定を行うために、追加の GPO を作成しました。そのために OU を作成し、そこにコンピューターとユーザー アカウントを移動し、その GPO をenforced = $trueその OU にリンクしました。には、GPResult /h正しく適用された構成が表示されていますが、Net user /domain testuser表示されていません。ローカル ポリシー設定は、GPO と同一です。

問題は依然として発生します。

アップデート3 顧客は Microsoft にチケットを開きました。まだ解決策はありませんが、GP に問題があるようだということがわかりました。ユーザーとそのデバイスは、継承を無効にした状態でテストのために別の OU に移動されました。いくつかのパスワード設定を含む新しい GPO をそれに適用しました。GPResult更新された設定が表示されましたが、ユーザーは依然としてパスワードを変更できませんでした。

その後、GPリンクを削除して継承を再度有効にしましたが、テストGPOの設定はシステムに残りました。デフォルトのドメインポリシー適用されなかったため (テスト GPO よりも低かった)、ユーザーは依然としてパスワードを変更できませんでした。

今後も最新情報をお伝えします。皆さんの誰かがいつかこの問題に遭遇するか、マイクロソフトよりも先に解決策を見つけるかもしれません。

答え1

私の記憶が正しければ、このエラーはパスワード変更の問題でよく見られる一般的なエラーです。

あなたのコメントに基づきます:

ただし、以下の場合にはこれは当てはまりません。

a) 管理者が新しいパスワードにリセットするか、

b) ユーザーに「ログオン時にパスワードをリセットする必要がある」というフラグが設定されていた

Minimum Password Age問題は、パスワード ポリシーにどちらかまたは両方の設定があることだと思いますEnforce Password History。おそらく最初の設定が原因だと思います。

編集:

最新のアップデートに基づいて、次のことを確認できます。

Password changeable 15.02.2017 13:14:58

パスワードは30日間変更できないことが示されます。

現在、パスワードの最小有効期間が 0 に設定されていると述べています。

そこから、2つの結論が導き出されます。

  1. アカウントまたは OU のいずれかがポリシーの継承をブロックしています...「ネット アカウント」で適切なポリシーが表示されているにもかかわらず、特定のユーザーにはポリシーが適用されていないようです。

  2. 継承をブロックし、適切な設定を取得できない DC がいくつかあります。こちらを参照してください:https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable

GPMC で GPO ブロックが実行されていないことを確認します。次に、ユーザーが認証している DC、そのコンピューター、ユーザー アカウントの 3 つすべてに「このオブジェクトの親からの継承可能なアクセス許可を含める」オプションが設定されていることを確認します。

答え2

コマンドの出力はnet user /domain Myuser現在、パスワードの最小有効期間が31日であることを反映します。このユーザーの PSO を変更し、そのオブジェクトのパスワードの最小有効期間を 0 に設定します。

また、PSO がユーザーまたはグループに正常に適用されたことを確認しましたか? 正常に適用された場合、msDS-ResultantPSOユーザーの AD アカウントに属性が入力されているはずです。属性タブの ADUC を使用するか、次の PowerShell コマンドを実行することで、これを簡単に確認できます。

Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL

ちなみに、実行するとnet accounts設定が戻りますローカルコンピュータアカウントローカル アカウント設定は、ドメイン アカウント設定とは別に構成されます。

答え3

愚かな提案ですが、ユーザーのパスワードが要件を満たしていることを確認しましたか?

  1. パスワードにはユーザーの全文字を含めないでくださいsamAccountName(アカウント名) 値または全体表示名(フルネーム) 値。両方のチェックでは大文字と小文字は区別されません。
    • samAccountNameパスワードの一部であるかどうかを判断するためにのみ、全体がチェックされます。samAccountName3 文字未満の場合、このチェックはスキップされます。
    • 表示名区切り文字(カンマ、ピリオド、ダッシュまたはハイフン、アンダースコア、スペース、ポンド記号、タブ)が解析されます。これらの区切り文字が見つかった場合、表示名は分割され、解析されたすべてのセクション (トークン) がパスワードに含まれていないことが確認されます。長さが 3 文字未満のトークンは無視され、トークンのサブ文字列はチェックされません。たとえば、「Erin M. Hagens」という名前は、「Erin」、「M」、「Hagens」の 3 つのトークンに分割されます。2 番目のトークンは 1 文字しかないため、無視されます。したがって、このユーザーのパスワードには、パスワードのどこにもサブ文字列として「erin」または「hagens」が含まれることはできません。
  2. パスワードには、次の 5 つのカテゴリのうち 3 つの文字を含める必要があります。
    • ヨーロッパ言語の大文字(AからZ、発音区別符号付き、ギリシャ文字とキリル文字)
    • ヨーロッパ言語の小文字(aからz、シャープ s、発音区別記号付き、ギリシャ文字とキリル文字)
    • 10進数(09
    • 英数字以外の文字:~!@#$%^&*_-+=`|\(){}[]:;"',.?/
    • アルファベット文字として分類されるが、大文字でも小文字でもない Unicode 文字。これにはアジア言語の Unicode 文字が含まれます。

によると:https://technet.microsoft.com/ja-jp/library/cc786468%28v=ws.10%29.aspx より

答え4

正直なところ、これはローカル GPO 編集を介して二次的な製品設定ポリシーに遭遇しているように思われます。ScriptLogic (別名 Desktop Authority) のようなものです。

古い PC で見られる症状には次のようなものがあります:

  1. PC の system32 または C: のルートに SLStart または wKiX32 が存在します。
  2. 以前そこにあったが削除された場合、PC に以前インストールされたすべてのプログラムが「プログラムの追加と削除」に表示されなくなります。

あれから数年が経ちました。最終的にどうなったかご存知ですか?

関連情報