У меня есть пользователи домена в Azure AD DS.
Мне нужно установить для некоторых пользователей пароли, срок действия которых не ограничен.
Когда я захожу в раздел «Пользователи и компьютеры Active Directory» на компьютере в домене, опция «Срок действия пароля не ограничен» становится неактивной.
Когда я захожу в Office 365 и проверяю политику срока действия паролей, она настроена так, чтобы срок действия паролей не истекал.
Когда я смотрю на GPO одной из моих машин, я вижу, что у меня не установлен срок действия пароля.
Когда я захожу на ту же машину и запускаю Get-ADUser в PowerShell, я получаю:
Однако по истечении 70 дней истекает срок действия паролей пользователей (в Windows Server), а не для входа в Office 365.
Может кто-нибудь подсказать, где это происходит? Я немного в тупике и мне нужно это исправить как можно скорее!
Спасибо!
Редактирование 1: Я глобальный администратор.
решение1
Вам может понадобитьсяСоздайте детальную политику паролей
Сначала убедитесь, что вы уже создали виртуальную машину управления:
Вы можете установить политики паролей в домене, открыв «Центр администрирования Active Directory иСоздавайте детальные политики паролей. Руководство можно найти здесь:
https://activedirectorypro.com/create-fine-grained-password-policies/
решение2
Однако если пользователи входят в O365, используя свои учетные записи Azure AD, то расследование следует начать с Azure AD.
Непонятно, где происходит проверка пароля пользователя:
- Если вы используете синхронизацию хэша паролей: проверьте текущие политики паролей в Azure AD:https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
- Если вы используете ADFS/сквозную аутентификацию: проверьте политики паролей локального домена, сервер ADFS или агент сквозной аутентификации.
Я очень сомневаюсь, что это связано, но поскольку просроченный пароль в AADDS не должен влиять на O365: но стоит поработать и над этим:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy
решение3
Используете ли вы синхронизацию каталогов (AD Connect) между вашим AD и Azure AD? Это ключевой вопрос здесь.
Если учетная запись пользователя находится в AD, то срок действия пароля (и аутентификация в целом) управляется локальной службой AD; если же учетная запись пользователя находится в Azure AD, то все управление осуществляется оттуда.
Поскольку вы показали снимок экрана для учетной записи пользователя в ADUC, я предполагаю, что учетная запись пользователя существует в AD и синхронизирована с Azure AD; в этом случае будет правильно задать свойства учетной записи пользователя (например, неограниченный срок действия пароля) из AD; Azure AD не будет играть в этом никакой роли, поскольку локальная AD является основным источником информации об учетной записи пользователя.
Итак, почему у вас эти опции неактивны? Это действительно похоже на проблему с разрешениями; Active Directory Users and Computers (AUDC для краткости) с радостью позволит любому (аутентифицированному) просматривать данные AD, но если вам не разрешено выполнять операцию, она будет неактивна или даже не будет показана вообще.
Если вы видите объект в AD, который вы не можете редактировать, или если вы пытаетесь редактировать его и получаете ошибку «доступ запрещен», это означает, что у вас недостаточно прав для этого.
Когда вы являетесь администратором домена (и фактически действуете как таковой, потому что UAC может быть царской головной болью), вы должны иметь возможность редактироватьчто-либо. Но это все еще вопрос разрешений: администраторам домена разрешено редактировать что угодно, поскольку право на это автоматически предоставляется группе «Администраторы домена». Если кто-то изменил разрешения на OU или сам объект пользователя и удалил право доступа по умолчанию «Администраторы домена имеют полный контроль», вам будет запрещено трогать его.
Итог: проверьте разрешения на объект пользователя (и/или на OU, где он находится) и убедитесь, что у "Администраторов домена" есть полный контроль. Если это не так, получите его принудительно; Администраторы домена всегда могут брать на себя владение всем, чем они не владеют.