web-dev-qa-db-fra.com

L'utilisateur ne peut pas changer de mot de passe en raison de la complexité

Dans l'un des domaines enfants de mon client, il a le problème qu'un certain nombre (ressemble) à des utilisateurs aléatoires ne peuvent pas changer leur mot de passe en raison de "complexité bla bla". Ce n'est cependant pas vrai lorsque:

a) Un administrateur réinitialise un nouveau mot de passe ou

b) l'utilisateur avait l'indicateur "doit réinitialiser le mot de passe à la connexion"

Ce que j'ai essayé jusqu'à présent:

  1. GPO: il n'y a que la stratégie de domaine par défaut avec des paramètres de mot de passe. Les paramètres sont les suivants:

    • Longueur de 10
    • Complexité activée
    • l'historique est défini sur 5, mais non pertinent dans ce cas (différents mots de passe essayés)
    • Tout le reste n'est pas défini ou 0
  2. Fournisseur de mots de passe sur PDC: J'ai lu que vous pouvez utiliser des fournisseurs de mots de passe personnalisés via le registre. Je l'ai vérifié avec un domaine où tout fonctionne. Cela semble par défaut. La seule chose que j'ai vue était le réglage EveryoneIncludesAnonymous = 0.

  3. L'utilisateur ne pouvait toujours pas changer son PW après avoir créé un PSO pour lui, avec une configuration qui devrait fonctionner. Semblait qu'ils n'étaient pas appliqués.

  4. PDC est disponible

  5. Set-ADAccountPassword sur un contrôleur de domaine ne fonctionnait pas non plus.

  6. Le descripteur de sécurité du compte d'utilisateur semble tout à fait correct. Chacun a le droit de changer le mot de passe.

  7. Dans ADUC, les propriétés utilisateur sont correctes. L'utilisateur ne peut pas changer le mot de passe = $ false, etc.

Sortie de Net User /domain Myuser

User name                    cardm004
Full Name                    Cardman, Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

Sortie de net accounts

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

Je suis à court d'idées maintenant. Que puis-je essayer de savoir pourquoi les utilisateurs ne peuvent pas changer leurs mots de passe?

Mise à jour

J'ai découvert que la modélisation de la stratégie de groupe montre différentes configurations pour différents utilisateurs. La partie "paramètres de mot de passe" et "politique de verrouillage de compte" ne s'affiche pas pour les utilisateurs qui ne peuvent pas modifier leurs mots de passe. Je suppose donc qu'il pourrait y avoir un problème de réplication sur les contrôleurs de domaine. J'ai vérifié l'état de réplication avec repadmin /showrepl et les résultats étaient corrects. J'ai vérifié le contenu du fichier dans sysvol sur les 3 contrôleurs de domaine et ils étaient identiques. Donc, d'une manière ou d'une autre, les contrôleurs de domaine sont à jour, mais les ordinateurs n'obtiennent pas la configuration.

GPUpdate /force et GPResult /r, ou GPResult /h file.html a l'air bien et ne montre aucune erreur. Redémarrez après GPUpdate /force n'a pas modifié l'erreur. GPResult /r affiche le site correct et affiche une connexion rapide, Default Domain Policy (où les réglages sont effectués) s'affiche tel qu'appliqué.

Mise à jour 2 J'ai créé un GPO supplémentaire pour définir les paramètres de mot de passe. Pour cela, j'ai créé une unité d'organisation, où j'ai déplacé l'ordinateur et le compte utilisateur et lié cela = GPO avec enforced = $true à cette unité d'organisation. GPResult /h montre la configuration correcte appliquée, Net User /domain testuser ne fait pas. Les paramètres de stratégie locale sont identiques à l'objet de stratégie de groupe.

Le problème persiste.

Mise à jour Le client a ouvert un ticket chez Microsoft. Ils n'ont pas encore de solution, mais ont découvert qu'il semble y avoir un problème avec GP: l'utilisateur et son appareil ont été déplacés dans une unité d'organisation distincte pour les tests avec l'héritage désactivé. Ils y ont appliqué un nouveau GPO avec plusieurs paramètres de mot de passe. GPResult a montré les paramètres mis à jour, mais l'utilisateur n'était toujours pas en mesure de modifier son mot de passe.

Ensuite, ils ont supprimé le lien GP et réactivé l'héritage, les paramètres du GPO test sont restés sur le système. Les paramètres de Stratégie de domaine par défaut n'ont pas été appliqués (ils étaient inférieurs à ceux du GPO de test) et l'utilisateur ne pouvait toujours pas modifier son mot de passe.

Je vous tiendrai au courant, peut-être que l'un d'entre vous rencontrera un jour ce problème ou trouvera une solution avant Microsoft.

7
restless1987

IIRC l'erreur est l'erreur générique pour tout problème de changement de mot de passe.

Sur la base de votre commentaire de:

Ce n'est cependant pas vrai lorsque:

a) Un administrateur réinitialise un nouveau mot de passe ou

b) l'utilisateur avait le drapeau "doit réinitialiser le mot de passe à la connexion"

Je vais dire que le problème est que votre politique de mot de passe a un paramètre pour Minimum Password Age ou Enforce Password History ou les deux. Le premier est probablement le coupable ici.

MODIFIER:

Sur la base de votre dernière mise à jour, vous pouvez voir:

Password changeable 15.02.2017 13:14:58

Cela montre que le mot de passe n'est pas modifiable pendant 30 jours.

Maintenant, vous avez indiqué que l'âge minimum de votre mot de passe est défini sur 0.

Cela m'amène à deux conclusions possibles:

  1. Soit les comptes, soit les unités d'organisation bloquent l'héritage de la stratégie ... bien qu'elle montre la bonne stratégie avec des "comptes nets", l'utilisateur particulier ne semble pas l'appliquer.

  2. Certains contrôleurs de domaine bloquent l'héritage et n'obtiennent pas les paramètres appropriés. Voir ici: https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable

Vérifiez et vérifiez qu'il n'y a pas de blocage GPO effectué dans la console GPMC. Ensuite, vérifiez et assurez-vous que DC l'utilisateur s'authentifie avec, ainsi que son ordinateur) , et leur compte d'utilisateur ... tous les 3 ont "Inclure les autorisations héritables du parent de cet objet".

14
TheCleaner

Votre sortie du Net User /domain Myuser la commande reflète actuellement un âge minimum de mot de passe de 31 jours. Il semble que vous devez modifier votre PSO pour cet utilisateur et définir l'âge minimum du mot de passe à 0 dans cet objet.

De plus, avez-vous confirmé que l'application PSO a été appliquée avec succès à l'utilisateur ou au groupe? Si c'est le cas, vous devriez voir un msDS-ResultantPSO attribut renseigné sur le compte AD de l'utilisateur. Vous pouvez facilement vérifier cela en utilisant ADUC dans l'onglet Attributs ou en exécutant les commandes PowerShell suivantes:

Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL

En passant, exécutant net accounts va retourner les paramètres pour les comptes d'ordinateurs locaux . Les paramètres de compte local sont configurés séparément des paramètres de compte de domaine.

3
SturdyErde

Suggestion stupide, mais avez-vous vérifié que le mot de passe de l'utilisateur répond aux exigences:

  1. Les mots de passe ne doivent pas contenir la valeur entière de l'utilisateur samAccountName (Nom du compte) ou la totalité displayName (Nom complet). Les deux chèques ne sont pas sensibles à la casse:
    • Le samAccountName est vérifié dans son intégralité uniquement pour déterminer s'il fait partie du mot de passe. Si le samAccountName comporte moins de trois caractères, cette vérification est ignorée.
    • displayName est analysé pour les délimiteurs: virgules, points, tirets ou tirets, traits de soulignement, espaces, signes dièse et tabulations. Si l'un de ces délimiteurs est trouvé, le displayName est divisé et toutes les sections analysées (jetons) sont confirmées pour ne pas être incluses dans le mot de passe. Les jetons de moins de trois caractères sont ignorés et les sous-chaînes des jetons ne sont pas vérifiées. Par exemple, le nom "Erin M. Hagens" est divisé en trois jetons: "Erin", "M" et "Hagens". Étant donné que le deuxième jeton ne comporte qu'un seul caractère, il est ignoré. Par conséquent, cet utilisateur ne pouvait pas avoir un mot de passe qui comprenait "erin" ou "hagens" comme sous-chaîne n'importe où dans le mot de passe.
  2. Les mots de passe doivent contenir des caractères de trois des cinq catégories suivantes:
    • Caractères majuscules des langues européennes (A par Z, avec signes diacritiques, caractères grecs et cyrilliques)
    • Caractères minuscules des langues européennes (a par z, sharp-s, avec signes diacritiques, caractères grecs et cyrilliques)
    • Base 10 chiffres ( par 9)
    • Caractères non alphanumériques: ~!@#$%^&*_-+=`|\(){}[]:;"',.?/
    • Tout caractère Unicode qui est classé comme un caractère alphabétique mais qui n'est ni en majuscule ni en minuscule. Cela inclut les caractères Unicode des langues asiatiques

Selon: https://technet.Microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx

0
Slipeer