내 고객의 하위 도메인 중 하나에서 그는 "복잡성 어쩌구 저쩌구"로 인해 다수의 임의 사용자가 자신의 비밀번호를 변경할 수 없는 문제를 겪고 있습니다. 그러나 다음과 같은 경우에는 사실이 아닙니다.
a) 관리자가 새 비밀번호로 재설정하거나
b) 사용자에게 "로그온 시 비밀번호를 재설정해야 합니다"라는 플래그가 있습니다.
지금까지 시도한 것:
GPO: 비밀번호 설정이 포함된 기본 도메인 정책만 있습니다. 설정은 다음과 같습니다:
- 길이 10
- 복잡성 활성화
- 기록은 5로 설정되어 있지만 이 경우에는 관련이 없습니다(다른 비밀번호를 시도했습니다)
- 다른 모든 것은 정의되지 않았거나 0입니다.
PDC의 비밀번호 공급자: 레지스트리를 통해 사용자 정의 비밀번호 공급자를 사용할 수 있다는 내용을 읽었습니다. 모든 것이 작동하는 도메인으로 확인했습니다. 기본값인 것 같습니다. 내가 본 유일한 것은 설정이었습니다
EveryoneIncludesAnonymous = 0.작동해야 하는 구성으로 PSO를 생성한 후에도 사용자는 여전히 PW를 변경할 수 없습니다. 적용되지 않은 것 같았습니다.
PDC를 사용할 수 있습니다
Set-ADAccountPassword도메인 컨트롤러에서도 작동하지 않았습니다.사용자 계정의 보안 설명자는 꽤 괜찮아 보입니다. 모든 사람은 비밀번호를 변경할 권리가 있습니다.
ADUC에서는 사용자 속성이 정상입니다. 사용자는 비밀번호를 변경할 수 없습니다 = $false 등.
출력net user /domain Myuser
User name cardm004
Full Name Cardman, Michael
Comment Test User
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 16.01.2017 13:14:58
Password expires Never
Password changeable 15.02.2017 13:14:58
Password required Yes
User may change password Yes
Workstations allowed All
Logon script login.cmd
User profile
Home directory
Last logon 18.01.2017 08:14:01
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
출력net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 37201
Minimum password length: 10
Length of password history maintained: 5
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: Workstation
이제 아이디어가 없어졌습니다. 사용자가 비밀번호를 변경할 수 없는 이유를 알아내려면 어떻게 해야 합니까?
업데이트
그룹 정책 모델링은 사용자마다 다른 구성을 표시한다는 것을 알았습니다. 비밀번호를 변경할 수 없는 사용자에게는 "비밀번호 설정" 및 "계정 잠금 정책" 부분이 표시되지 않습니다. 따라서 도메인 컨트롤러에 복제 문제가 있을 수 있다고 가정합니다. 복제 상태를 확인했는데 repadmin /showrepl결과는 괜찮았습니다. 3개의 도메인 컨트롤러 모두에서 sysvol의 파일 내용을 확인했는데 동일한 내용이었습니다. 따라서 DC는 최신이지만 컴퓨터는 구성을 얻지 못합니다.
GPUpdate /force및 GPResult /r, 또는 GPResult /h file.html괜찮아 보이고 오류가 표시되지 않습니다. 재부팅해도 GPUpdate /force오류가 변경되지 않았습니다.
GPResult /r올바른 사이트를 표시하고, 빠른 연결을 표시하며, Default Domain Policy(설정이 완료된 곳)은 적용된 것으로 표시됩니다.
업데이트 2
비밀번호 설정을 위해 추가 GPO를 만들었습니다. 이를 위해 컴퓨터와 사용자 계정을 이동하고 해당 GPO를 enforced = $true해당 OU에 연결하는 OU를 만들었습니다. GPResult /h올바르게 적용된 구성을 표시하지만 Net user /domain testuser그렇지 않습니다. 로컬 정책 설정은 GPO와 동일합니다.
문제가 계속 발생합니다.
업데이트 3
고객이 Microsoft에서 티켓을 개설했습니다. 아직 해결책은 없지만 GP에 문제가 있는 것으로 나타났습니다. 사용자와 장치는 상속이 비활성화된 테스트를 위해 별도의 OU로 이동되었습니다. 그들은 여러 암호 설정을 사용하여 새 GPO를 적용했습니다. GPResult업데이트된 설정을 표시했지만 사용자는 여전히 비밀번호를 변경할 수 없었습니다.
그런 다음 GP-링크를 제거하고 상속을 다시 활성화했으며 테스트 GPO의 설정은 시스템에 유지되었습니다. 설정기본 도메인 정책적용되지 않았고(테스트 GPO보다 낮았음) 사용자는 여전히 자신의 암호를 변경할 수 없었습니다.
계속해서 업데이트해 드리겠습니다. 여러분 중 누군가가 언젠가 이 문제에 직면하거나 Microsoft보다 먼저 해결책을 찾을 수도 있습니다.
답변1
IIRC 오류는 비밀번호 변경 문제에 대한 일반적인 오류입니다.
귀하의 의견을 바탕으로:
그러나 다음과 같은 경우에는 사실이 아닙니다.
a) 관리자가 새 비밀번호로 재설정하거나
b) 사용자에게 "로그온 시 비밀번호를 재설정해야 합니다"라는 플래그가 있습니다.
문제는 귀하의 비밀번호 정책에 둘 중 하나 Minimum Password Age또는 Enforce Password History둘 다에 대한 설정이 있다는 것입니다. 아마도 첫 번째 사람이 범인일 것입니다.
편집하다:
최신 업데이트에 따라 다음을 확인할 수 있습니다.
Password changeable 15.02.2017 13:14:58
30일 동안 비밀번호를 변경할 수 없다고 표시됩니다.
이제 최소 비밀번호 사용 기간이 0으로 설정되어 있다고 말씀하셨습니다.
이는 두 가지 가능한 결론을 이끌어냅니다.
계정이나 OU 중 하나가 정책 상속을 차단하고 있습니다. "순 계정"이 포함된 적절한 정책이 표시되어 있음에도 불구하고 특정 사용자가 해당 정책을 적용하지 않는 것 같습니다.
상속을 차단하고 적절한 설정을 얻지 못하는 일부 DC가 있습니다. 여기를 보아라:https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable
GPMC에서 GPO 차단이 이루어지지 않았는지 확인하세요. 그런 다음 사용자가 컴퓨터 및 사용자 계정과 함께 인증하는 DC를 확인하고 확인하십시오. 3개 모두 "이 개체의 부모로부터 상속 가능한 권한 포함"이 있습니다.
답변2
명령 출력에는 net user /domain Myuser현재 최소 비밀번호 사용 기간인 31일이 반영되어 있습니다. 꼭 하셔야 할 것 같습니다이 사용자에 대한 PSO를 수정하고 해당 개체에서 최소 비밀번호 사용 기간을 0으로 설정하세요..
또한 해당 사용자나 그룹에 PSO가 성공적으로 적용되었는지 확인하셨나요? 그렇다면 msDS-ResultantPSO사용자의 AD 계정에 채워진 속성이 표시되어야 합니다. 속성 탭의 ADUC를 사용하거나 다음 PowerShell 명령을 실행하여 이를 쉽게 확인할 수 있습니다.
Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL
참고로 실행하면 다음 net accounts설정이 반환됩니다.로컬 컴퓨터 계정. 로컬 계정 설정은 도메인 계정 설정과 별도로 구성됩니다.
답변3
어리석은 제안이지만 사용자의 비밀번호가 요구 사항을 충족하는지 확인했습니까?
- 비밀번호에는 사용자의 전체 정보가 포함되어서는 안 됩니다.샘계정이름(계정 이름) 값 또는 전체이름 표시하기(전체 이름) 값입니다. 두 검사 모두 대소문자를 구분하지 않습니다.
- 그만큼샘계정이름비밀번호의 일부인지 여부를 확인하기 위해 전체를 검사합니다. 만약샘계정이름길이가 3자 미만인 경우 이 확인을 건너뜁니다.
- 그만큼이름 표시하기쉼표, 마침표, 대시 또는 하이픈, 밑줄, 공백, 파운드 기호 및 탭과 같은 구분 기호에 대해 구문 분석됩니다. 이러한 구분 기호 중 하나라도 발견되면이름 표시하기분할되어 파싱된 모든 섹션(토큰)이 비밀번호에 포함되지 않는 것으로 확인됩니다. 길이가 3자 미만인 토큰은 무시되고 토큰의 하위 문자열은 확인되지 않습니다. 예를 들어, "Erin M. Hagens"라는 이름은 "Erin", "M" 및 "Hagens"의 세 가지 토큰으로 분할됩니다. 두 번째 토큰의 길이는 1자이므로 무시됩니다. 따라서 이 사용자는 비밀번호의 어느 부분에도 "erin" 또는 "hagens"가 하위 문자열로 포함된 비밀번호를 가질 수 없습니다.
- 비밀번호에는 다음 5가지 범주 중 3가지의 문자가 포함되어야 합니다.
- 유럽 언어의 대문자( A~ Z, 발음 구별 부호, 그리스 및 키릴 문자 포함)
- 유럽 언어의 소문자( a부터 z, 샤프, 발음 구별 부호 포함, 그리스 및 키릴 문자)
- 기본 10자리( 0~ 9)
- 영숫자가 아닌 문자:~!@#$%^&*_-+=`|\(){}[]:;"',.?/
- 알파벳 문자로 분류되지만 대문자나 소문자는 아닌 모든 유니코드 문자입니다. 여기에는 아시아 언어의 유니코드 문자가 포함됩니다.
에 따르면:https://technet.microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx
답변4
솔직히 이것은 로컬 GPO 편집을 통해 보조 제품 설정 정책이 발생하는 것처럼 들립니다. ScriptLogic(일명 Desktop Authority)과 같은 것입니다.
구형 PC에서 볼 수 있는 몇 가지 증상은 다음과 같습니다.
- system32의 PC 또는 C: 루트에 SLStart 또는 wKiX32가 존재합니다.
- 이전에 거기에 있었다가 제거된 경우 PC에 이전에 설치된 모든 프로그램이 프로그램 추가/제거에 표시되지 않는 것을 볼 수 있습니다.
몇 년이 지났습니다. 결국 수정 사항이 무엇인지 아시나요?