iT邦幫忙

0

AD更改密碼複雜度卻一直都不過關

cojad 2012-05-22 21:11:0547824 瀏覽
  • 分享至 

  • xImage

一開始是發現2003 AD帳戶在Client上用Ctrl+Alt+Del面改密碼,明明複雜度已經符合要求了
卻會說不符合要求,但是後來去網域安全性原則把複雜度給取消掉,結果也是一樣的情形
最後甚至到AD的PDC主機上面去用Ctrl+Alt+Del改自己管理員的帳戶也一樣永遠都沒法符合(也把網域控制站的密碼複雜度給關了,依然無效)
現在改密碼的唯一方法只剩下管理員用右鍵對使用者帳戶做設定密碼才有效了..

短期幾天不是問題,但是再過幾個禮拜我頭就要大了.

請問各位先進有沒有人知道這問題可能是哪邊出問題了?
我今天已經搞整天沒有進展了..拜託各位幫幫小弟了

PS.我畫面中更改的密碼為『*IK<9ol.0p;/』,這應該已經達到2003所規範的密碼複雜度要求了
而且我的密碼長度原則也只是預設的7位數...

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
liurambo0911
iT邦高手 1 級 ‧ 2012-05-23 12:13:27
最佳解答

試試看先到AD上去先幫他變更密碼 然後去勾選"下次變更密碼"
將密碼給對方之後 請她自己去變更

曾經有次沒有先去勾選
然後透過WIN7 卻跟樓主一樣無法直接變更

cojad iT邦新手 3 級 ‧ 2012-05-23 15:47:54 檢舉

剛去試過了...開了一個test測xp,test2測win7帳戶
只有在勾選"下次變更密碼"時使用者換密碼系統才會認定符合複雜度要求
但是之後使用在自己按Ctrl+alt+del選變更密碼時,再複雜的密碼依然符合不了複雜度要求(密碼複雜度的安全性原則在AD上面一直都是關閉的狀態)

cojad提到:
只有在勾選"下次變更密碼"時使用者換密碼系統才會認定符合複雜度要求

沒錯 這就是我的結論
還有 如果接近密碼有效期時 也可以允許變更
其他狀況之下 我自己都是得直接到AD上直接改

4
Ray
iT邦大神 1 級 ‧ 2012-05-23 00:24:32

你所改的新密碼, 是否以前已經使用過?

GPO 裡面有一個原則是: 以前用過的密碼, 不可以再拿來使用.
除非你把這個取消掉, 否則每次都要取一個新的密碼, 不能重複用舊的.

看更多先前的回應...收起先前的回應...
cojad iT邦新手 3 級 ‧ 2012-05-23 09:24:05 檢舉

沒有用過...我試的每一組密碼都是臨時想出來的
我甚至拿新建的帳戶來試...但是
除了『使用者下次登入時必須變更密碼』,在這時候能夠正確的更換密碼外
其他時候按下ctrl+alt+del換密碼都會出現不符合複雜性要求

CalvinKuo iT邦大師 7 級 ‧ 2012-05-23 10:10:32 檢舉

會不會是下面討論串提到的問題啊?
Server 2003 的群組原則可能會無法完整套用到 Vista/Win7 的用戶端
http://social.technet.microsoft.com/Forums/zh-HK/winserverzhcht/thread/ce2f07ca-34ab-4b18-a4a2-a5d21ca38e26

CalvinKuo iT邦大師 7 級 ‧ 2012-05-24 09:39:34 檢舉

版主要不要試著在管理者的Windows 7上面安裝Windows 7 Service Pack 1 (SP1) 的遠端伺服器管理工具,再來改群組原則
http://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=7d2f6ad7-656b-4313-a005-4e344e43997d&displaylang=zh-tw

shawme iT邦新手 4 級 ‧ 2013-05-21 17:05:16 檢舉

最近我在客戶端也遇到這個問題,於是著手去查看GPO設定值帶出來的結果及影響
發現我&同事認為密碼原則的定義都不正確,正確如下:
「密碼必須符合複雜性需求」
1.「定義這個原則」未勾選:密碼的複雜化「可」與「不可」皆可
2.「定義這個原則」勾選,並設定「已啟用」:密碼必須符合複雜化
3.「定義這個原則」勾選,並設定「已停用」:密碼"不得"使用複雜化

客戶就是設定在第三項,我們也都以為這樣代表不用複雜化密碼,卻不知道也代表當變更密碼時,我們輸入了複雜性密碼,是會違反GPO的設定值的。

chiao2 iT邦新手 5 級 ‧ 2013-06-18 12:40:54 檢舉

我們也遇到這個問題,Shawme大是正解,解決了我們這個問題,感謝Shawme大!

shawme提到:
shawme 說:
「密碼必須符合複雜性需求」
1.「定義這個原則」未勾選:密碼的複雜化「可」與「不可」皆可
2.「定義這個原則」勾選,並設定「已啟用」:密碼必須符合複雜化
3.「定義這個原則」勾選,並設定「已停用」:密碼"不得"使用複雜化

客戶就是設定在第三項,我們也都以為這樣代表不用複雜化密碼,卻不知道也代表當變更密碼時,我們輸入了複雜性密碼,是會違反GPO的設定值的。

2
daosheng
iT邦新手 5 級 ‧ 2012-05-24 08:15:21

記得修改密碼複雜度有二個地方!
一個是本機的~~
一個是網域的~~~
你會不會祇改到本機的!確沒改到網域的?
提供你作思考參考...

CalvinKuo iT邦大師 7 級 ‧ 2012-05-24 09:36:54 檢舉

若網域的有設定停用(不是設未設定),應該套用群組原則會如下圖反白無法設定...

2
msit
iT邦高手 1 級 ‧ 2012-05-24 16:23:01

有沒有可能是套錯GPO層級
或是您的成員不是在組織單位中

2
departuring
iT邦見習生 ‧ 2019-12-09 23:03:44

搞了一整個晚上終於搞定了,上面解答只有一個貼近真正答案。
選"下次變更密碼"才能變更密碼的代表密碼原則根本沒套用到本機上,所以死在密碼最短使用期限需要1天的關係,怎麼改都不會過。
Why? 因為本機群組原則裡的密碼原則根本沒有變(用Administrator登進去看gpedit.msc就知道)

原因:
Default Domain Controller Policy 對應的是 Windows server
Default Domain Policy 才是對應到 Windows client !!!!!

改錯Policy當然不會生效囉~!!

希望這篇回覆可以造福後人 XD

好分享

我要發表回答

立即登入回答