Objeto de diretiva de grupo com a senha máxima não afetará

0

Estamos tendo um problema estranho com o AD. Alterámos a política de palavras-passe para o seguinte:

Enforce password history 5 passwords remembered
Maximum password age
120 days  Minimum password age 1 day
Minimum password length 8 characters

Esta política está em vigor desde antes de janeiro deste ano. Nossos usuários ainda precisam alterar sua senha a cada 42 dias. Entendo que a política não entra em vigor até que sua senha seja alterada. Nossos usuários mudaram suas senhas algumas vezes desde a mudança.

No servidor quando executo contas de rede , vejo o seguinte:

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          1
Maximum password age (days):                          120
Minimum password length:                              8
Length of password history maintained:                5
Lockout threshold:                                    15
Lockout duration (minutes):                           5
Lockout observation window (minutes):                 5
Computer role:                                        PRIMARY

Ótimo! 120 dias para senha máxima! Agora eu verifico um usuário específico com net user

User name                    Removed
Full Name                    Removed
Comment
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            5/5/2015 2:54:35 PM
Password expires             9/2/2015 2:54:35 PM
Password changeable          5/6/2015 2:54:35 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   4/9/2015 4:13:10 PM

Logon hours allowed          All

Ok, perfeito! 9/2 é de 120 dias após 5/5! Isso é típico, no entanto. Antes que este usuário alterasse sua senha em 5/5, ela mostrava uma data além de 5/5 (quando sua senha realmente expirou.

Hoje encontrei uma nova -me-me maneira de verificar a expiração de senha de um usuário . Então eu verifico esse mesmo usuário com essa ferramenta que usa Get-ADUserResultantPasswordPolicy para determinar MaxPasswordAge (eu pude confirmar que estava indo pela rota $ accountFGPP -ne $ null por executando manualmente Get-ADUserResultantPasswordPolicy .A função mostra isso:

Password of account: SameUserAsBefore expires on: 06/16/2015 14:54:35

Espere, o que? net user disse que a senha não expiraria até 9/2! Quando executei Get-ADUserResultantPasswordPolicy neste usuário, encontrei a raiz do problema:

PS C:\Windows\system32> Get-ADUserResultantPasswordPolicy (Get-ADUser SameUserAsBefore -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet)

AppliesTo                   : {CN=Domain Users,CN=Users,DC=REMOVED,DC=LOCAL}
ComplexityEnabled           : False
DistinguishedName           : CN=Default-#####,CN=Password Settings Container,CN=System,DC=REMOVED,DC=LOCAL
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 10
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
Name                        : Default-#####
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : GUIDRemoved
PasswordHistoryCount        : 3
Precedence                  : 1
ReversibleEncryptionEnabled : False

E aqui estou, perplexo a respeito de por que são 42 dias, apesar da Política de Grupo que defini, que é aplicada e vinculada no nível do domínio. Está definido para se aplicar a usuários autenticados. Eu tentei deletar isso e refazê-lo caso a política tenha se corrompido de alguma forma.

Alguém tem alguma ideia de por que a política de grupo não está realmente afetando?

    
por JeremyT 08.05.2015 / 00:16

1 resposta

0

Esta questão foi finalmente resolvida! Um novo mundo do Windows Server foi revelado para mim.

De Mec Beau e editado por Excellll:

By creating GPO on OU, This will not work for what you're trying to do. GPOs pertaining to Password policies can only be set at the domain level. However, In order to apply a policy to a subset of domain users then you need to use Fine-Grained password policies.

These can be applied at the group level, so you need to ensure all the users you wish to affect with this new policy are a member of the appropriate group.

To do this on a Windows 2012 domain, do the following from a DC .

  1. From the Start Screen type DSAC.EXE to start the Directory Service Administrative Center.
  2. Navigate to the System\Password Settings Container
  3. Right Click and select New or use New under the Tasks menu.
  4. Choose Password Settings
  5. Create a New Password policy either for a User or a group.
  6. Set its Precedence in case if u have multiple policies created, so lower the number higher the priority.

It's fairly self-explanatory from there.

    
por 18.06.2015 / 23:29