iT邦幫忙

0

密碼最長有效期會一直跳回42天

我設置密碼原則的最長有效期為180天,
並使用微軟的Account lockout stats檢查也正常套用了,
過幾天後有USER通知他們的密碼顯示過期要求變更密碼,
我用RSOP.MSC檢查密碼有效期也還是180天,
但使用Account lockout stats看時發現最長有效期又變回42天,
於是我使用gpupdate /force後才恢復成正常的180天,

再過幾天又會重複以上狀況,請問是哪裡出了問題呢?此問題已困擾許久,煩請各位協助。

看更多先前的討論...收起先前的討論...
ctipde iT邦高手 1 級 ‧ 2013-04-08 11:49:37 檢舉
請問版大,告知密碼需要變更的使用者是有特定的使用者還是不特定?
依照群組原則順序-->如果本機原則內有改過將會優先套用本機原則
flano iT邦新手 5 級 ‧ 2013-04-08 12:14:25 檢舉
所有的使用者都會出現密碼過期狀況,本機原則皆未修改過
花輪 iT邦大師 1 級 ‧ 2013-04-08 15:39:08 檢舉
ctipde提到:
依照群組原則順序-->如果本機原則內有改過將會優先套用本機原則

這樣的說法好像怪怪的...
花輪 iT邦大師 1 級 ‧ 2013-04-08 15:41:49 檢舉
Local > Site > Domain > OU 這樣的順序才對吧!
local 套用後市很可能被後面的覆蓋掉的..

ps. 為何我不能點選 「回應」,點了 「表情符號」就 發表 了...

1 個回答

4
花輪
iT邦大師 1 級 ‧ 2013-04-08 15:38:20

請問版大的設定是設在哪裡?

AD 內 POLICY 的套用是依照 LSDOU 的順序的。
亦即 LOCAL > SITE > DOMAIN > OU,若有重複的設定,則前面的會被後套用的原則覆蓋掉。
所以,請檢查您的 Domain & OU 的 GPO 設定看看是否是套用順序的問題。

另外,您操作的那台 DC 是第一台嗎?多台 DC 的場合還要確定 AD Replication 的功能是否正常,沒問題應該就是上述的狀況了。

flano iT邦新手 5 級 ‧ 2013-04-08 17:56:08 檢舉

設在Default domain policy內,security Filtering設定為Authenticated Users。
在OU內也有另一個GPO,但密碼部分設定皆是Not Defined。

我在設定Default domain policy後執行gpupdate /force後檢查client端有套用,而且正常運作狀態,但過個幾天才出現密碼最長有效期變回24天的狀況。

另外,我使用AD Replication Status Tool此工具檢查都是操作順利完成。

花輪 iT邦大師 1 級 ‧ 2013-04-08 20:48:36 檢舉

flano提到:
執行gpupdate /force

CLIENT 有執行這個嗎? 還是在 DC 上執行!

或者用 Enterprise Admin 的權限去執行一次,再用 Client 跑一次 gpupdate /force

另外,Clients 端 OS 有差異嗎? 是部分 PC 會這樣還是全部,還是某個 OS(例:WIN7)才會這樣..

flano iT邦新手 5 級 ‧ 2013-04-09 09:27:15 檢舉

Client和DC都有執行,所有Client都出現相同狀況,

比較詭異的是我設完都正常可使用,不知道為什麼過了幾天才又變回42天,在前幾天都還是正常的

我要發表回答

立即登入回答