我在 Azure AD DS 中有網域使用者。
我需要為其中一些用戶設定不會過期的密碼。
當我在網域中的電腦上轉到「Active Directory 使用者和電腦」時,「密碼永不過期」選項顯示為灰色。
當我轉到 Office 365 並檢查密碼過期原則時,它被配置為密碼永不過期。
當我查看一台電腦的 GPO 時,我沒有設定密碼過期時間。
當我轉到同一台電腦並在 powershell 中執行 Get-ADUser 時,我得到:
但是,70 天后,使用者的密碼將會過期(在 Windows Server 內),但登入 Office 365 時則不然。
誰能指導我到哪裡發生這種情況?我有點困惑,需要盡快解決這個問題!
謝謝你!
編輯 1:我是全域管理員。
答案1
您可能需要建立細粒度的密碼原則
首先,請確保您已經建立了管理虛擬機器:
您可以透過開啟「Active Directory 管理中心」和「網域」來設定網域中的密碼原則。建立細粒度的密碼原則。可以在這裡找到指南:
https://activedirectorypro.com/create-fine-grained-password-policies/
答案2
但是,如果使用者使用其 Azure AD 帳戶登入 O365,則應從 Azure AD 前端開始調查。
目前還不清楚用戶密碼驗證發生在哪裡:
- 如果您使用密碼雜湊同步:檢查 Azure AD 上目前的密碼原則:https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
- 如果您使用 ADFS/直通驗證:檢查您的本機網域密碼原則、ADFS 伺服器或直通驗證代理程式。
我非常懷疑這是否相關,但因為 AADDS 上的過期密碼不應該影響 O365:但也值得對此進行研究:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy
答案3
您是否在 AD 和 Azure AD 之間使用目錄同步 (AD Connect)?這是這裡的關鍵問題。
如果使用者帳戶來自 AD,則密碼過期(以及一般驗證)由您的本機 AD 管理;如果使用者帳戶是 Azure AD 的本機帳戶,則一切都從那裡進行管理。
由於您在 ADUC 中顯示了使用者帳戶的螢幕截圖,因此我假設該使用者帳戶存在於 AD 中並同步到 Azure AD;在這種情況下,從 AD 設定使用者帳戶屬性(例如密碼永不過期)是正確的; Azure AD 在此不會發揮任何作用,因為本機 AD 是使用者帳戶資訊的主要來源。
現在,為什麼這些選項會呈現灰色?這看起來確實像是權限問題; Active Directory 使用者和電腦(簡稱 AUDC)很樂意讓任何人(經過驗證的)查看 AD 數據,但如果不允許您執行某項操作,它就會變灰甚至完全不顯示。
如果您在 AD 中看到無法編輯的對象,或嘗試編輯它並收到「存取被拒絕」錯誤,則表示您沒有足夠的權限來執行此操作。
當您是網域管理員(並且實際上是這樣,因為 UAC 可能是一個巨大的痛苦)時,您應該能夠編輯任何事物。但這仍然是一個權限問題:網域管理員可以編輯任何內容,因為這樣做的權利會自動授予「網域管理員」群組。如果有人更改了 OU 或使用者物件本身的權限並刪除了預設的「網域管理員具有完全控制」存取權限,您將被阻止接觸它。
底線:檢查使用者物件(和/或它所在的 OU)的權限,並確保「網域管理員」擁有完全控制權。如果不是的話,就強行獲取;網域管理員始終可以擁有不屬於他們的任何內容的所有權。