我發現 ADFS 更新密碼頁面出現奇怪的問題。我們正在批量創建用戶,他們正在嘗試更改密碼。但是,大約 50% 的帳戶無法更改密碼,會記錄以下事件:
以下使用者的密碼變更失敗:
附加數據
使用者:網域\使用者名稱
設備證書:
嘗試更改密碼的伺服器:ad01.ad.domain 錯誤詳細資訊:NewPasswordHistConflict
這個錯誤表明密碼與先前的密碼相同,但我們測試了幾個不同的密碼,仍然得到相同的錯誤。我在有問題的帳戶和沒有問題的帳戶之間找不到任何特別的共同點。
使用者是使用以下 Powershell 行建立的:
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName`
-GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath`
-UserPrincipalName "[email protected]" -AccountPassword $securePassword `
-Enabled $true
有任何想法嗎?網域控制器和ADFS是Windows 2012R2。
答案1
由於最短密碼期限政策,我已經看到這些類型的問題(儘管不是那麼具體)。如果設定為 1 天,則表示使用者更改密碼後,1 天內不能再次更改密碼。
因此,當您大量建立時,您需要一個虛擬密碼,因為沒有虛擬密碼就無法建立用戶,然後用戶會在同一天更改密碼等。
答案2
我不太熟悉使用 ADFS 更改密碼,但根據我的經驗,AD 並沒有具體說明新密碼被拒絕的原因。新密碼違反密碼策略的某些方面(歷史記錄、複雜性、長度、最短使用期限等)通常只是一個錯誤。
不過,為了排除故障,我可能會嘗試暫時修改您的密碼原則。首先將記住的密碼值設為 0,這樣密碼歷史記錄就不再是問題了。如果這不能解決問題,請一次一點地放鬆政策設置,直到您的失敗消失,並且您有望找到真正的問題。