O usuário não pode alterar a senha devido à complexidade

Navegue suas respostas
5

Em um dos domínios filhos do meu cliente, ele tem o problema de que vários usuários (aleatórios) não podem alterar sua senha devido a "complexidade blá blá". Isto não é verdade, quando:

a) Um administrador é redefinido para uma nova senha ou

b) o usuário tinha o sinalizador "deve redefinir a senha no logon"

O que eu tentei até agora:

  1. GPOs: Há apenas a política de domínio padrão com configurações de senha. As configurações são:

    • Comprimento de 10
    • Complexidade ativada
    • o histórico está definido como 5, mas irrelevante neste caso (tentou senhas diferentes)
    • Todo o resto é indefinido ou 0

  2. Provedor de senhas no PDC: Li que você pode usar provedores de senha personalizados por meio do registro. Eu verifiquei com um domínio onde tudo funciona. Parece padrão. A única coisa que vi foi a configuração EveryoneIncludesAnonymous = 0 .

  3. O usuário ainda não conseguiu mudar o seu PW depois que eu criei um PSO para ele, com a configuração que deve funcionar. Parecia que eles não foram aplicados.

  4. O PDC está disponível

  5. Set-ADAccountPassword em um controlador de domínio também não funcionou.

  6. O descritor de segurança da conta do usuário parece bastante ok. Todos têm o direito de alterar a senha.

  7. No ADUC, as propriedades do usuário estão ok. O usuário não pode alterar a senha = $ false, etc.

Saída de net user /domain Myuser 

User name                    cardm004
Full Name                    Cardman, Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

Saída de net accounts 

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

Estou sem ideias agora. O que eu poderia tentar descobrir por que os usuários não podem alterar suas senhas?

Atualizar

Descobri que a modelagem de políticas de grupo mostra diferentes configurações para diferentes usuários. A parte "configurações de senha" e "política de bloqueio de conta" não são mostradas para os usuários que não podem alterar suas senhas. Então eu suponho que pode haver um problema de replicação nos controladores de domínio. Eu verifiquei o replicationstatus com repadmin /showrepl e os resultados foram ok. Eu verifiquei o conteúdo do arquivo em sysvol em todos os 3 controladores de domínio e eles são idênticos. Então, de alguma forma, os controladores de domínio estão atualizados, mas os computadores não obtêm a configuração.

GPUpdate /force e GPResult /r ou GPResult /h file.html parecem bons e não mostram erros. A reinicialização após GPUpdate /force não alterou o erro. GPResult /r mostra o site correto e exibe uma conexão rápida, Default Domain Policy (onde as configurações são feitas) é exibido conforme aplicado.

Atualização 2 Eu criei um GPO adicional para definir as configurações de senha. Para isso, criei uma unidade organizacional, para a qual movi o computador e a conta de usuário e vinculei esse GPO com enforced = $true a essa unidade organizacional. GPResult /h mostra a configuração correta aplicada, Net user /domain testuser não. As configurações da política local são idênticas ao GPO.

O problema ainda ocorre.

Atualização 3 O cliente abriu um ingresso na microsoft. Eles ainda não têm uma solução, mas descobriram que parece haver um problema com o GP: o usuário e seu dispositivo foram movidos para uma unidade organizacional separada para testes com a herança desativada. Eles aplicaram um novo GPO a ele com várias configurações de senha. GPResult mostrou as configurações atualizadas, mas o usuário ainda não conseguiu alterar sua senha.

Em seguida, eles removeram o GP-link e ativaram a herança novamente, as configurações do GPO de teste permaneceram no sistema. As configurações de Política de Domínio Padrão não foram aplicadas (eram menores do que no GPO de teste) e o usuário ainda não pôde alterar sua senha.

Vou mantê-lo atualizado, talvez um de vocês se depara com esse problema um dia ou encontre uma solução antes que a Microsoft o faça.

    
por restless1987 16.01.2017 / 14:33

3 respostas

13

IIRC o erro é o erro genérico para qualquer problema de alteração de senha.

Com base no seu comentário de:

This is however not true, when:

a) An Administrator resets to a new password or

b) the user had the flag "must reset passwort at logon"

Eu vou dizer que o problema é que sua política de senha tem uma configuração para Minimum Password Age ou Enforce Password History ou ambos. Provavelmente o primeiro é o culpado aqui.

EDITAR:

Com base na sua última atualização, você pode ver:

Password changeable 15.02.2017 13:14:58

Isso mostra que a senha não pode ser alterada por 30 dias.

Agora, você declarou que sua idade mínima da senha está definida como 0.

Isso me leva a duas possíveis conclusões:

  1. As contas ou as OUs estão bloqueando a herança da política ... apesar de mostrar a política adequada com "contas líquidas", o usuário em particular não parece estar aplicando a política.

  2. Existem alguns DCs que estão bloqueando a herança e não obtendo as configurações adequadas. Veja aqui: link

Verifique e verifique se não há bloqueio de GPO no GPMC. Em seguida, verifique e certifique-se de que o DC com o qual o usuário está autenticando, junto com o computador e a conta de usuário deles ... todos os 3 têm "Incluir permissões herdáveis do pai desse objeto".

    
por 16.01.2017 / 14:50
2

Sua saída do comando net user /domain Myuser está atualmente refletindo uma idade mínima da senha de 31 dias. Parece que você precisa modificar seu PSO para esse usuário e definir a idade mínima da senha como 0 nesse objeto .

Além disso, você confirmou que o PSO foi aplicado com êxito ao usuário ou grupo? Se estiver, você verá um msDS-ResultantPSO atribuído preenchido na conta do AD do usuário. Você pode facilmente verificar isso usando o ADUC na guia de atributos ou executando os seguintes comandos do PowerShell: 

Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL

Em uma nota secundária, executar net accounts retornará as configurações para contas de computador local . As configurações da conta local são configuradas separadamente das configurações da conta de domínio.

    
por 18.01.2017 / 19:49
0

Sugestão estúpida, mas você verificou que a senha do usuário atende aos requisitos:

  1. As senhas não devem conter todo o valor samAccountName (Nome da conta) ou displayName (nome completo) do usuário. Ambas as verificações não diferenciam maiúsculas de minúsculas:
    • O samAccountName é verificado em sua totalidade apenas para determinar se é parte da senha. Se o samAccountName for menor de três caracteres, esta verificação é ignorada.
    • O displayName é analisado para delimitadores: vírgulas, pontos, traços ou hífens, sublinhados, espaços, sinais de libra e tabulações. Se algum destes delimitadores são encontrados, o displayName é dividido e todos os analisados seções (tokens) são confirmadas para não serem incluídas na senha. Tokens com menos de três caracteres são ignorados e substrings dos tokens não são verificados. Por exemplo, o nome "Erin M. Hagens "é dividido em três tokens:" Erin "," M "e" Hagens ". Como o segundo token tem apenas um caractere, ele é ignorado. Portanto, esse usuário não poderia ter uma senha que incluísse "erin" ou "hagens" como substring em qualquer lugar da senha.
  2. As senhas devem conter caracteres de três das cinco seguintes Categorias:
    • Caracteres maiúsculos de idiomas europeus ( A a Z , com marcas diacríticas, caracteres gregos e cirílicos)
    • Caracteres minúsculos de idiomas europeus ( a a z , sharp-s, com marcas diacríticas, caracteres gregos e cirílicos)
    • Base 10 dígitos ( 0 a 9 )
    • Caracteres não numéricos: ~ ! @ # $ % ^ & * _ - + = ' | \ ( ) { } [ ] : ; < kbd> " ' , . ? /
    • Qualquer caractere Unicode categorizado como um caractere alfabético mas não é maiúscula ou minúscula. Isso inclui caracteres Unicode das línguas asiáticas

De acordo com: link

    
por 16.01.2017 / 15:25

Tags

Bloquear timestamp e resposta de timestamp com firewalld Ping rápido sem exigir a resposta [fechado]