Tenho usuários de domínio em um Azure AD DS.
Preciso definir alguns desses usuários com senhas que não expiram.
Quando vou para "Usuários e Computadores do Active Directory" em uma máquina do domínio, a opção "A senha nunca expira" fica esmaecida.
Quando vou ao Office 365 e verifico a política de expiração de senha, ela está configurada para nunca expirar senhas.
Quando olho para o GPO de uma das minhas máquinas, não tenho a expiração da senha definida.
Quando vou para a mesma máquina e executo Get-ADUser no PowerShell, recebo:
No entanto, após 70 dias, as senhas dos usuários expiram (no Windows Server), e não para entrar no Office 365.
Alguém pode me orientar onde isso está ocorrendo? Estou um pouco perplexo e preciso consertar isso o mais rápido possível!
Obrigado!
Editar 1: sou um administrador global.
Responder1
Você pode precisarCrie uma política de senha refinada
Primeiro, certifique-se de já ter criado a VM de gerenciamento:
Você pode definir as políticas de senha no domínio abrindo o "Centro Administrativo do Active Directory eCrie políticas de senha refinadas. Um guia pode ser encontrado aqui:
https://activedirectorypro.com/create-fine-grained-password-policies/
Responder2
Se os usuários estiverem registrando no O365 usando suas contas do Azure AD, a investigação deverá começar na frente do Azure AD.
Não está claro onde ocorre a verificação da senha do usuário:
- Se estiver usando o Password Hash Sync: verifique as políticas de senha atuais que você tem no Azure AD:https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
- Se você estiver usando autenticação ADFS/passagem: verifique as políticas de senha do domínio local, ou o servidor ADFS, ou o agente de autenticação passagem.
Duvido muito que isso esteja relacionado, mas porque uma senha expirada no AADDS não deve afetar o O365: mas vale a pena trabalhar nisso também:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy
Responder3
Você está usando a sincronização de diretórios (AD Connect) entre seu AD e o Azure AD? Esta é a questão chave aqui.
Se a conta do usuário vier do AD, a expiração da senha (e a autenticação em geral) será gerenciada pelo seu AD local; se, em vez disso, a conta do usuário for nativa do Azure AD, tudo será gerenciado a partir daí.
Como você mostrou uma captura de tela da conta de usuário no ADUC, presumo que a conta de usuário exista no AD e esteja sincronizada com o Azure AD; neste caso, é correto definir as propriedades da conta do usuário (como a senha que nunca expira) do AD; O Azure AD não terá qualquer papel nisso, porque o AD local é a principal fonte de informações da conta do usuário.
Agora, por que você tem essas opções esmaecidas? Na verdade, isso parece um problema de permissão; Usuários e Computadores do Active Directory (AUDC, abreviadamente) permitirão que qualquer pessoa (autenticada) veja os dados do AD, mas se você não tiver permissão para executar uma operação, ela ficará esmaecida ou nem mesmo será exibida.
Se você vir um objeto no AD que não pode editar ou se tentar editá-lo e receber um erro de “acesso negado”, isso significa que você não tem permissões suficientes para fazer isso.
Quando você é um administrador de domínio (e realmente age como tal, porque o UAC pode ser uma dor de cabeça), você deve ser capaz de editarqualquer coisa. Mas isso ainda é uma questão de permissões: os administradores de domínio podem editar qualquer coisa porque o direito de fazê-lo é concedido automaticamente ao grupo “Administradores de domínio”. Se alguém alterou as permissões em uma unidade organizacional ou no próprio objeto de usuário e removeu o direito de acesso padrão "Administradores de domínio têm controle total", você será impedido de tocá-lo.
Resumindo: verifique as permissões no objeto de usuário (e/ou na unidade organizacional onde ele está localizado) e certifique-se de que os "administradores de domínio" tenham controle total. Se não for esse o caso, obtenha-o à força; Os administradores de domínio sempre podem se apropriar de tudo o que não possuem.