我設置密碼原則的最長有效期為180天,
並使用微軟的Account lockout stats檢查也正常套用了,
過幾天後有USER通知他們的密碼顯示過期要求變更密碼,
我用RSOP.MSC檢查密碼有效期也還是180天,
但使用Account lockout stats看時發現最長有效期又變回42天,
於是我使用gpupdate /force後才恢復成正常的180天,
再過幾天又會重複以上狀況,請問是哪裡出了問題呢?此問題已困擾許久,煩請各位協助。
已邀請的邦友 {{ invite_list.length }}/5
請問版大的設定是設在哪裡?
AD 內 POLICY 的套用是依照 LSDOU 的順序的。
亦即 LOCAL > SITE > DOMAIN > OU,若有重複的設定,則前面的會被後套用的原則覆蓋掉。
所以,請檢查您的 Domain & OU 的 GPO 設定看看是否是套用順序的問題。
另外,您操作的那台 DC 是第一台嗎?多台 DC 的場合還要確定 AD Replication 的功能是否正常,沒問題應該就是上述的狀況了。
設在Default domain policy內,security Filtering設定為Authenticated Users。
在OU內也有另一個GPO,但密碼部分設定皆是Not Defined。
我在設定Default domain policy後執行gpupdate /force後檢查client端有套用,而且正常運作狀態,但過個幾天才出現密碼最長有效期變回24天的狀況。
另外,我使用AD Replication Status Tool此工具檢查都是操作順利完成。
flano提到:
執行gpupdate /force
CLIENT 有執行這個嗎? 還是在 DC 上執行!
或者用 Enterprise Admin 的權限去執行一次,再用 Client 跑一次 gpupdate /force
另外,Clients 端 OS 有差異嗎? 是部分 PC 會這樣還是全部,還是某個 OS(例:WIN7)才會這樣..
Client和DC都有執行,所有Client都出現相同狀況,
比較詭異的是我設完都正常可使用,不知道為什麼過了幾天才又變回42天,在前幾天都還是正常的
iThome鐵人賽
看影片追技術