Estamos tendo um problema estranho com o AD. Alterámos a política de palavras-passe para o seguinte:
Enforce password history 5 passwords remembered
Maximum password age
120 days Minimum password age 1 day
Minimum password length 8 characters
Esta política está em vigor desde antes de janeiro deste ano. Nossos usuários ainda precisam alterar sua senha a cada 42 dias. Entendo que a política não entra em vigor até que sua senha seja alterada. Nossos usuários mudaram suas senhas algumas vezes desde a mudança.
No servidor quando executo contas de rede , vejo o seguinte:
Force user logoff how long after time expires?: Never
Minimum password age (days): 1
Maximum password age (days): 120
Minimum password length: 8
Length of password history maintained: 5
Lockout threshold: 15
Lockout duration (minutes): 5
Lockout observation window (minutes): 5
Computer role: PRIMARY
Ótimo! 120 dias para senha máxima! Agora eu verifico um usuário específico com net user
User name Removed
Full Name Removed
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 5/5/2015 2:54:35 PM
Password expires 9/2/2015 2:54:35 PM
Password changeable 5/6/2015 2:54:35 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 4/9/2015 4:13:10 PM
Logon hours allowed All
Ok, perfeito! 9/2 é de 120 dias após 5/5! Isso é típico, no entanto. Antes que este usuário alterasse sua senha em 5/5, ela mostrava uma data além de 5/5 (quando sua senha realmente expirou.
Hoje encontrei uma nova -me-me maneira de verificar a expiração de senha de um usuário . Então eu verifico esse mesmo usuário com essa ferramenta que usa Get-ADUserResultantPasswordPolicy para determinar MaxPasswordAge (eu pude confirmar que estava indo pela rota $ accountFGPP -ne $ null por executando manualmente Get-ADUserResultantPasswordPolicy .A função mostra isso:
Password of account: SameUserAsBefore expires on: 06/16/2015 14:54:35
Espere, o que? net user disse que a senha não expiraria até 9/2! Quando executei Get-ADUserResultantPasswordPolicy neste usuário, encontrei a raiz do problema:
PS C:\Windows\system32> Get-ADUserResultantPasswordPolicy (Get-ADUser SameUserAsBefore -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet)
AppliesTo : {CN=Domain Users,CN=Users,DC=REMOVED,DC=LOCAL}
ComplexityEnabled : False
DistinguishedName : CN=Default-#####,CN=Password Settings Container,CN=System,DC=REMOVED,DC=LOCAL
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 10
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
Name : Default-#####
ObjectClass : msDS-PasswordSettings
ObjectGUID : GUIDRemoved
PasswordHistoryCount : 3
Precedence : 1
ReversibleEncryptionEnabled : False
E aqui estou, perplexo a respeito de por que são 42 dias, apesar da Política de Grupo que defini, que é aplicada e vinculada no nível do domínio. Está definido para se aplicar a usuários autenticados. Eu tentei deletar isso e refazê-lo caso a política tenha se corrompido de alguma forma.
Alguém tem alguma ideia de por que a política de grupo não está realmente afetando?