El usuario no puede cambiar la contraseña debido a la complejidad

tag-icon tag-icon windows active-directory password
El usuario no puede cambiar la contraseña debido a la complejidad

En uno de los dominios secundarios de mi cliente, tiene el problema de que varios (parece) usuarios aleatorios no pueden cambiar su contraseña debido a la "complejidad, bla, bla". Sin embargo, esto no es cierto cuando:

a) Un administrador restablece una nueva contraseña o

b) el usuario tenía el indicador "debe restablecer la contraseña al iniciar sesión"

Lo que probé hasta ahora:

  1. GPO: solo existe la política de dominio predeterminada con configuración de contraseña. Los ajustes son:

    • Longitud de 10
    • Complejidad habilitada
    • el historial está establecido en 5, pero es irrelevante en este caso (probé contraseñas diferentes)
    • Todo lo demás está indefinido o 0

  2. Proveedor de contraseñas en PDC: leí que puedes usar proveedores de contraseñas personalizados a través del registro. Lo comprobé con un dominio donde todo funciona. Parece predeterminado. Lo único que vi fue el escenario EveryoneIncludesAnonymous = 0.

  3. El usuario aún no pudo cambiar su PW después de que le creé un PSO, con una configuración que debería funcionar. Parecía que no se aplicaron.

  4. PDC está disponible

  5. Set-ADAccountPassworden un controlador de dominio tampoco funcionó.

  6. El descriptor de seguridad de la cuenta de usuario parece bastante correcto. Todo el mundo tiene derecho a cambiar la contraseña.

  7. En ADUC las propiedades del usuario están bien. El usuario no puede cambiar la contraseña = $false, etc.

Salida denet user /domain Myuser

User name                    cardm004
Full Name                    Cardman, Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

Salida denet accounts

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

Ya no tengo ideas. ¿Qué podría intentar para saber por qué los usuarios no pueden cambiar sus contraseñas?

Actualizar

Descubrí que el modelado de políticas de grupo muestra diferentes configuraciones para diferentes usuarios. La parte "configuración de contraseña" y "política de bloqueo de cuenta" no se muestran para los usuarios que no pueden cambiar sus contraseñas. Entonces supongo que podría haber un problema de replicación en los controladores de dominio. Verifiqué el estado de replicación repadmin /showreply los resultados fueron correctos. Revisé el contenido del archivo en sysvol en los 3 controladores de dominio y eran idénticos. Entonces, de alguna manera, los DC están actualizados, pero las computadoras no obtienen la configuración.

GPUpdate /forcey GPResult /r, o GPResult /h file.htmlse ven bien y no muestran ningún error. Reiniciar después GPUpdate /forceno cambió el error. GPResult /rmuestra el sitio correcto y muestra una conexión rápida Default Domain Policy(donde se realizan las configuraciones) se muestra como aplicado.

Actualización 2 Creé un GPO adicional para establecer la configuración de la contraseña. Para eso, creé una unidad organizativa, donde moví la computadora y la cuenta de usuario y vinculé ese GPO a enforced = $trueesa unidad organizativa. GPResult /hmuestra la configuración aplicada correcta, Net user /domain testuserno la muestra. La configuración de la política local es idéntica a la del GPO.

El problema persiste.

Actualización 3 El cliente abrió un ticket en microsoft. Todavía no tienen una solución, pero descubrieron que parece haber un problema con GP: el usuario y su dispositivo fueron trasladados a una unidad organizativa separada para realizar pruebas con la herencia deshabilitada. Le aplicaron un nuevo GPO con varias configuraciones de contraseña. GPResultmostró la configuración actualizada, pero el usuario aún no pudo cambiar su contraseña.

Luego, eliminaron el enlace GP y habilitaron la herencia nuevamente, la configuración del GPO de prueba permaneció en el sistema. Los ajustes dePolítica de dominio predeterminadano se aplicaron (eran más bajos que en el GPO de prueba) y el usuario aún no podía cambiar su contraseña.

Los mantendré informados, tal vez alguno de ustedes se encuentre con este problema algún día o encuentre una solución antes que Microsoft.

Respuesta1

IIRC, el error es el error genérico para cualquier problema de cambio de contraseña.

Basado en tu comentario de:

Sin embargo, esto no es cierto cuando:

a) Un administrador restablece una nueva contraseña o

b) el usuario tenía el indicador "debe restablecer la contraseña al iniciar sesión"

Voy a decir que el problema es que su política de contraseñas tiene una configuración para uno Minimum Password Ageo Enforce Password Historyambos. Probablemente el primero sea el culpable aquí.

EDITAR:

Según su última actualización, puede ver:

Password changeable 15.02.2017 13:14:58

Muestra que la contraseña no se puede cambiar durante 30 días.

Ahora, usted indicó que la edad mínima de su contraseña está establecida en 0.

Eso me lleva a dos posibles conclusiones:

  1. Las cuentas o las unidades organizativas están bloqueando la herencia de la política... a pesar de que muestra la política adecuada con "cuentas netas", el usuario en particular no parece aplicarla.

  2. Hay algunos DC que bloquean la herencia y no obtienen la configuración adecuada. Mira aquí:https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable

Verifique y verifique que no se haya realizado ningún bloqueo de GPO en GPMC. Luego verifique y asegúrese de que el DC en el que se está autenticando el usuario, junto con su computadora y su cuenta de usuario... los 3 tienen "Incluir permisos heredables del padre de este objeto".

Respuesta2

El resultado del net user /domain Myusercomando actualmente refleja una antigüedad mínima de la contraseña de 31 días. Parece que necesitasmodifique su PSO para este usuario y establezca la edad mínima de la contraseña en 0 en ese objeto.

Además, ¿ha confirmado que el PSO se aplicó correctamente al usuario o grupo? Si es así, debería ver un msDS-ResultantPSOatributo en la cuenta AD del usuario. Puede verificar esto fácilmente usando ADUC en la pestaña de atributos o ejecutando los siguientes comandos de PowerShell:

Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL

Como nota al margen, ejecutar net accountsdevolverá la configuración paracuentas de computadora locales. La configuración de la cuenta local se configura por separado de la configuración de la cuenta del dominio.

Respuesta3

Sugerencia estúpida, pero ¿ha verificado que la contraseña del usuario cumple con los requisitos?

  1. Las contraseñas no deben contener la información completa del usuario.samNombreDeCuenta(Nombre de cuenta) valor o completonombre para mostrar(Nombre completo) valor. Ambas comprobaciones no distinguen entre mayúsculas y minúsculas:
    • ElsamNombreDeCuentase verifica en su totalidad solo para determinar si es parte de la contraseña. Si elsamNombreDeCuentatiene menos de tres caracteres, se omitirá esta verificación.
    • Elnombre para mostrarse analiza en busca de delimitadores: comas, puntos, guiones o guiones, guiones bajos, espacios, signos de almohadilla y tabulaciones. Si se encuentra alguno de estos delimitadores, elnombre para mostrarse divide y se confirma que todas las secciones analizadas (tokens) no están incluidas en la contraseña. Los tokens que tienen menos de tres caracteres de longitud se ignoran y no se verifican las subcadenas de los tokens. Por ejemplo, el nombre "Erin M. Hagens" se divide en tres fichas: "Erin", "M" y "Hagens". Debido a que el segundo token tiene solo un carácter, se ignora. Por lo tanto, este usuario no podría tener una contraseña que incluyera "erin" o "hagens" como subcadena en ninguna parte de la contraseña.
  2. Las contraseñas deben contener caracteres de tres de las cinco categorías siguientes:
    • Caracteres mayúsculas de idiomas europeos ( Ahasta Z, con signos diacríticos, caracteres griegos y cirílicos)
    • Caracteres en minúscula de idiomas europeos ( ahasta z, s sostenido, con signos diacríticos, caracteres griegos y cirílicos)
    • Base 10 dígitos ( 0hasta 9)
    • Caracteres no alfanuméricos:~!@#$%^&*_-+=`|\(){}[]:;"',.?/
    • Cualquier carácter Unicode que esté categorizado como carácter alfabético pero que no esté en mayúsculas ni en minúsculas. Esto incluye caracteres Unicode de idiomas asiáticos.

De acuerdo a:https://technet.microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx

Respuesta4

Honestamente, parece que se está encontrando con una política de configuración de producto secundaria a través de ediciones de GPO locales. Algo así como ScriptLogic (también conocido como Desktop Authority).

Algunos síntomas que verías en PC más antiguas serían:

  1. Existencia de SLStart o wKiX32 en el PC en system32 o la raíz de C:.
  2. Si ya estaba allí y se eliminó, verá que todos los programas previamente instalados en las PC no aparecen en Agregar o quitar programas.

Han pasado... algunos años. ¿Alguna idea de cuál fue la solución finalmente?

información relacionada