Dans l'un des domaines enfants de mon client, il a le problème qu'un certain nombre (ressemble) à des utilisateurs aléatoires ne peuvent pas changer leur mot de passe en raison de "complexité bla bla". Ce n'est cependant pas vrai lorsque:
a) Un administrateur réinitialise un nouveau mot de passe ou
b) l'utilisateur avait l'indicateur "doit réinitialiser le mot de passe à la connexion"
Ce que j'ai essayé jusqu'à présent:
GPO: il n'y a que la stratégie de domaine par défaut avec des paramètres de mot de passe. Les paramètres sont les suivants:
Fournisseur de mots de passe sur PDC: J'ai lu que vous pouvez utiliser des fournisseurs de mots de passe personnalisés via le registre. Je l'ai vérifié avec un domaine où tout fonctionne. Cela semble par défaut. La seule chose que j'ai vue était le réglage EveryoneIncludesAnonymous = 0
.
L'utilisateur ne pouvait toujours pas changer son PW après avoir créé un PSO pour lui, avec une configuration qui devrait fonctionner. Semblait qu'ils n'étaient pas appliqués.
PDC est disponible
Set-ADAccountPassword
sur un contrôleur de domaine ne fonctionnait pas non plus.
Le descripteur de sécurité du compte d'utilisateur semble tout à fait correct. Chacun a le droit de changer le mot de passe.
Dans ADUC, les propriétés utilisateur sont correctes. L'utilisateur ne peut pas changer le mot de passe = $ false, etc.
Sortie de Net User /domain Myuser
User name cardm004
Full Name Cardman, Michael
Comment Test User
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 16.01.2017 13:14:58
Password expires Never
Password changeable 15.02.2017 13:14:58
Password required Yes
User may change password Yes
Workstations allowed All
Logon script login.cmd
User profile
Home directory
Last logon 18.01.2017 08:14:01
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
Sortie de net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 37201
Minimum password length: 10
Length of password history maintained: 5
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: Workstation
Je suis à court d'idées maintenant. Que puis-je essayer de savoir pourquoi les utilisateurs ne peuvent pas changer leurs mots de passe?
Mise à jour
J'ai découvert que la modélisation de la stratégie de groupe montre différentes configurations pour différents utilisateurs. La partie "paramètres de mot de passe" et "politique de verrouillage de compte" ne s'affiche pas pour les utilisateurs qui ne peuvent pas modifier leurs mots de passe. Je suppose donc qu'il pourrait y avoir un problème de réplication sur les contrôleurs de domaine. J'ai vérifié l'état de réplication avec repadmin /showrepl
et les résultats étaient corrects. J'ai vérifié le contenu du fichier dans sysvol sur les 3 contrôleurs de domaine et ils étaient identiques. Donc, d'une manière ou d'une autre, les contrôleurs de domaine sont à jour, mais les ordinateurs n'obtiennent pas la configuration.
GPUpdate /force
et GPResult /r
, ou GPResult /h file.html
a l'air bien et ne montre aucune erreur. Redémarrez après GPUpdate /force
n'a pas modifié l'erreur. GPResult /r
affiche le site correct et affiche une connexion rapide, Default Domain Policy
(où les réglages sont effectués) s'affiche tel qu'appliqué.
Mise à jour 2 J'ai créé un GPO supplémentaire pour définir les paramètres de mot de passe. Pour cela, j'ai créé une unité d'organisation, où j'ai déplacé l'ordinateur et le compte utilisateur et lié cela = GPO avec enforced = $true
à cette unité d'organisation. GPResult /h
montre la configuration correcte appliquée, Net User /domain testuser
ne fait pas. Les paramètres de stratégie locale sont identiques à l'objet de stratégie de groupe.
Le problème persiste.
Mise à jour Le client a ouvert un ticket chez Microsoft. Ils n'ont pas encore de solution, mais ont découvert qu'il semble y avoir un problème avec GP: l'utilisateur et son appareil ont été déplacés dans une unité d'organisation distincte pour les tests avec l'héritage désactivé. Ils y ont appliqué un nouveau GPO avec plusieurs paramètres de mot de passe. GPResult
a montré les paramètres mis à jour, mais l'utilisateur n'était toujours pas en mesure de modifier son mot de passe.
Ensuite, ils ont supprimé le lien GP et réactivé l'héritage, les paramètres du GPO test sont restés sur le système. Les paramètres de Stratégie de domaine par défaut n'ont pas été appliqués (ils étaient inférieurs à ceux du GPO de test) et l'utilisateur ne pouvait toujours pas modifier son mot de passe.
Je vous tiendrai au courant, peut-être que l'un d'entre vous rencontrera un jour ce problème ou trouvera une solution avant Microsoft.
IIRC l'erreur est l'erreur générique pour tout problème de changement de mot de passe.
Sur la base de votre commentaire de:
Ce n'est cependant pas vrai lorsque:
a) Un administrateur réinitialise un nouveau mot de passe ou
b) l'utilisateur avait le drapeau "doit réinitialiser le mot de passe à la connexion"
Je vais dire que le problème est que votre politique de mot de passe a un paramètre pour Minimum Password Age
ou Enforce Password History
ou les deux. Le premier est probablement le coupable ici.
MODIFIER:
Sur la base de votre dernière mise à jour, vous pouvez voir:
Password changeable 15.02.2017 13:14:58
Cela montre que le mot de passe n'est pas modifiable pendant 30 jours.
Maintenant, vous avez indiqué que l'âge minimum de votre mot de passe est défini sur 0.
Cela m'amène à deux conclusions possibles:
Soit les comptes, soit les unités d'organisation bloquent l'héritage de la stratégie ... bien qu'elle montre la bonne stratégie avec des "comptes nets", l'utilisateur particulier ne semble pas l'appliquer.
Certains contrôleurs de domaine bloquent l'héritage et n'obtiennent pas les paramètres appropriés. Voir ici: https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable
Vérifiez et vérifiez qu'il n'y a pas de blocage GPO effectué dans la console GPMC. Ensuite, vérifiez et assurez-vous que DC l'utilisateur s'authentifie avec, ainsi que son ordinateur) , et leur compte d'utilisateur ... tous les 3 ont "Inclure les autorisations héritables du parent de cet objet".
Votre sortie du Net User /domain Myuser
la commande reflète actuellement un âge minimum de mot de passe de 31 jours. Il semble que vous devez modifier votre PSO pour cet utilisateur et définir l'âge minimum du mot de passe à 0 dans cet objet.
De plus, avez-vous confirmé que l'application PSO a été appliquée avec succès à l'utilisateur ou au groupe? Si c'est le cas, vous devriez voir un msDS-ResultantPSO
attribut renseigné sur le compte AD de l'utilisateur. Vous pouvez facilement vérifier cela en utilisant ADUC dans l'onglet Attributs ou en exécutant les commandes PowerShell suivantes:
Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL
En passant, exécutant net accounts
va retourner les paramètres pour les comptes d'ordinateurs locaux . Les paramètres de compte local sont configurés séparément des paramètres de compte de domaine.
Suggestion stupide, mais avez-vous vérifié que le mot de passe de l'utilisateur répond aux exigences:
Selon: https://technet.Microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx