Ich habe Domänenbenutzer in einem Azure AD DS.
Ich muss für einige dieser Benutzer Passwörter einrichten, die nicht ablaufen.
Wenn ich auf einem Rechner in der Domäne zu „Active Directory-Benutzer und -Computer“ gehe, ist die Option „Kennwort läuft nie ab“ ausgegraut.
Wenn ich zu Office 365 gehe und die Richtlinie zum Ablauf von Passwörtern überprüfe, ist sie so konfiguriert, dass Passwörter nie ablaufen.
Wenn ich mir die Gruppenrichtlinie eines meiner Computer ansehe, ist kein Ablaufdatum für das Kennwort festgelegt.
Wenn ich zum selben Rechner gehe und „Get-ADUser“ in Powershell ausführe, erhalte ich:
Allerdings laufen die Passwörter der Benutzer nach 70 Tagen ab (innerhalb von Windows Server), nicht für die Anmeldung bei Office 365.
Kann mir bitte jemand sagen, wo das passiert? Ich bin ein wenig ratlos und muss das so schnell wie möglich beheben lassen!
Danke schön!
Bearbeitung 1: Ich bin ein globaler Administrator.
Antwort1
Möglicherweise müssen SieErstellen Sie eine detaillierte Kennwortrichtlinie
Stellen Sie zunächst sicher, dass Sie bereits eine Management-VM erstellt haben:
Sie können die Kennwortrichtlinien in der Domäne festlegen, indem Sie das „Active Directory-Verwaltungscenter“ öffnen undErstellen Sie detaillierte KennwortrichtlinienEine Anleitung dazu findet sich hier:
https://activedirectorypro.com/create-fine-grained-password-policies/
Antwort2
Wenn sich die Benutzer mit ihren Azure AD-Konten bei O365 anmelden, sollte die Untersuchung jedoch an der Azure AD-Front beginnen.
Es ist nicht klar, wo die Überprüfung des Benutzerkennworts stattfindet:
- Wenn Sie Password Hash Sync verwenden: Überprüfen Sie die aktuellen Kennwortrichtlinien, die Sie in Azure AD haben:https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
- Wenn Sie ADFS/Pass-Through-Authentifizierung verwenden: Überprüfen Sie die Kennwortrichtlinien Ihrer lokalen Domäne, den ADFS-Server oder den Pass-Through-Authentifizierungsagenten.
Ich bezweifle stark, dass dies damit zusammenhängt, aber da ein abgelaufenes Kennwort für AADDS keine Auswirkungen auf O365 haben sollte, lohnt es sich, auch daran zu arbeiten:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy
Antwort3
Verwenden Sie die Verzeichnissynchronisierung (AD Connect) zwischen Ihrem AD und Azure AD? Dies ist hier die Schlüsselfrage.
Wenn das Benutzerkonto aus AD stammt, wird der Kennwortablauf (und die Authentifizierung im Allgemeinen) von Ihrem lokalen AD verwaltet. Wenn das Benutzerkonto hingegen nativ zu Azure AD gehört, wird alles von dort aus verwaltet.
Da Sie einen Screenshot des Benutzerkontos in ADUC gezeigt haben, gehe ich davon aus, dass das Benutzerkonto in AD vorhanden ist und mit Azure AD synchronisiert wird. In diesem Fall ist es richtig, die Eigenschaften des Benutzerkontos (z. B. dass das Kennwort nie abläuft) von AD aus festzulegen. Azure AD spielt hierbei keine Rolle, da das lokale AD die Hauptquelle für Benutzerkontoinformationen ist.
Warum sind diese Optionen nun ausgegraut? Das sieht tatsächlich nach einem Berechtigungsproblem aus. Active Directory-Benutzer und -Computer (kurz AUDC) lassen jeden (authentifizierten) AD-Daten problemlos einsehen, aber wenn Sie eine Operation nicht ausführen dürfen, wird sie ausgegraut oder überhaupt nicht angezeigt.
Wenn Sie in AD ein Objekt sehen, das Sie nicht bearbeiten können, oder wenn Sie versuchen, es zu bearbeiten und die Fehlermeldung „Zugriff verweigert“ erhalten, bedeutet dies, dass Sie nicht über ausreichende Berechtigungen verfügen, um dies zu tun.
Wenn Sie ein Domänenadministrator sind (und tatsächlich als solcher agieren, da UAC eine echte Plage sein kann), sollten Sie in der Lage sein, Folgendes zu bearbeitenirgendetwas. Aber das ist immer noch eine Frage der Berechtigungen: Domänenadministratoren dürfen alles bearbeiten, weil das Recht dazu automatisch der Gruppe „Domänenadministratoren“ gewährt wird. Wenn jemand die Berechtigungen für eine Organisationseinheit oder das Benutzerobjekt selbst geändert und das standardmäßige Zugriffsrecht „Domänenadministratoren haben Vollzugriff“ entfernt hat, können Sie es nicht mehr bearbeiten.
Fazit: Überprüfen Sie die Berechtigungen für das Benutzerobjekt (und/oder für die Organisationseinheit, in der es sich befindet) und stellen Sie sicher, dass „Domänenadministratoren“ die volle Kontrolle haben. Wenn dies nicht der Fall ist, erzwingen Sie dies. Domänenadministratoren dürfen immer den Besitz von allem übernehmen, was ihnen nicht gehört.