Der Benutzer kann das Passwort aufgrund der Komplexität nicht ändern

In einer der untergeordneten Domänen meines Kunden hat er das Problem, dass eine Reihe von (anscheinend) zufälligen Benutzern ihr Passwort aufgrund von "Komplexität bla bla" nicht ändern können. Dies gilt jedoch nicht, wenn:

a) Ein Administrator wird auf ein neues Passwort zurückgesetzt oder

b) Der Benutzer hatte das Flag "Passwort muss bei Anmeldung zurückgesetzt werden".

Was ich bisher versucht habe:

1. Gruppenrichtlinienobjekte: Es gibt nur die Standarddomänenrichtlinie mit Kennworteinstellungen. Die Einstellungen sind:

   • Länge von 10
   • Komplexität aktiviert
   • Der Verlauf ist auf 5 gesetzt, aber in diesem Fall irrelevant (verschiedene Passwörter ausprobiert).
   • Alles andere ist undefiniert oder 0

2. Passwortanbieter auf PDC: Ich habe gelesen, dass Sie benutzerdefinierte Passwortanbieter über die Registrierung verwenden können. Ich habe es mit einer Domain überprüft, in der alles funktioniert. Es scheint Standard. Ich sah nur die Einstellung EveryoneIncludesAnonymous = 0.

3. Der Benutzer konnte sein PW immer noch nicht ändern, nachdem ich ein PSO für ihn erstellt hatte, dessen Konfiguration funktionieren sollte. Es schien, als wären sie nicht angewendet worden.

4. PDC ist verfügbar

5. Set-ADAccountPassword auf einem Domänencontroller funktionierte auch nicht.

6. Die Sicherheitsbeschreibung des Benutzerkontos sieht ganz in Ordnung aus. Jeder hat das Recht, das Passwort zu ändern.

7. In ADUC sind die Benutzereigenschaften in Ordnung. Benutzer kann Passwort nicht ändern = $ false usw.

Ausgabe von net user /domain Myuser

User name                    cardm004
Full Name                    Cardman, Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

Ausgabe von net accounts

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

Ich habe jetzt keine Ideen mehr. Was könnte ich versuchen herauszufinden, warum die Benutzer ihre Passwörter nicht ändern können?

Aktualisieren

Ich fand heraus, dass die Modellierung von Gruppenrichtlinien unterschiedliche Konfigurationen für unterschiedliche Benutzer zeigt. Der Teil "Kennworteinstellungen" und "Kontosperrungsrichtlinie" wird nicht für Benutzer angezeigt, die ihre Kennwörter nicht ändern können. Daher gehe ich davon aus, dass möglicherweise ein Replikationsproblem auf den Domänencontrollern vorliegt. Ich habe den Replikationsstatus mit überprüft repadmin /showreplund die Ergebnisse waren in Ordnung. Ich habe den Dateiinhalt in sysvol auf allen 3 Domänencontrollern überprüft und sie waren identisch. DCs sind also irgendwie auf dem neuesten Stand, aber die Computer erhalten die Konfiguration nicht.

GPUpdate /forceund GPResult /r, oder GPResult /h file.htmlgut aussehen und keine Fehler anzeigen. Neustart nach GPUpdate /forcehat den Fehler nicht geändert. GPResult /rZeigt die richtige Site an und zeigt eine schnelle Verbindung an Default Domain Policy(wo die Einstellungen vorgenommen werden).

Update 2 Ich habe ein zusätzliches Gruppenrichtlinienobjekt erstellt, um die Kennworteinstellungen festzulegen. Dafür habe ich eine Organisationseinheit erstellt, in der ich den Computer und das Benutzerkonto in dieses Gruppenrichtlinienobjekt verschoben und mit dieser Organisationseinheit verknüpft habe enforced = $true. GPResult /hzeigt die korrekt angewendete Konfiguration, Net user /domain testusernicht. Die lokalen Richtlinieneinstellungen sind mit dem Gruppenrichtlinienobjekt identisch.

Das Problem tritt immer noch auf.

Update 3 Der Kunde hat ein Ticket bei Microsoft geöffnet. Sie haben noch keine Lösung, haben jedoch herausgefunden, dass es ein Problem mit GP zu geben scheint: Der Benutzer und sein Gerät wurden zum Testen mit deaktivierter Vererbung in eine separate Organisationseinheit verschoben. Sie haben ein neues Gruppenrichtlinienobjekt mit mehreren Kennworteinstellungen darauf angewendet. GPResultzeigte die aktualisierten Einstellungen an, aber der Benutzer konnte sein Passwort immer noch nicht ändern.

Dann entfernten sie den GP-Link und aktivierten die Vererbung erneut. Die Einstellungen des Test-GPO blieben auf dem System. Die Einstellungen der Standarddomänenrichtlinie wurden nicht angewendet (sie waren niedriger als im Test-Gruppenrichtlinienobjekt) und der Benutzer konnte sein Kennwort immer noch nicht ändern.

Ich werde Sie auf dem Laufenden halten, vielleicht stößt einer von Ihnen eines Tages auf dieses Problem oder findet eine Lösung, bevor Microsoft dies tut.

IIRC Der Fehler ist der generische Fehler bei Problemen mit der Kennwortänderung.

Basierend auf Ihrem Kommentar von:

Dies gilt jedoch nicht, wenn:

a) Ein Administrator wird auf ein neues Passwort zurückgesetzt oder

b) Der Benutzer hatte das Flag "Passwort muss bei der Anmeldung zurückgesetzt werden".

Ich werde das Thema sagen ist , dass Ihr Passwort - Policy eine Einstellung für entweder hat Minimum Password Ageoder Enforce Password Historyoder beides. Wahrscheinlich ist der erste der Schuldige hier.

BEARBEITEN:

Basierend auf Ihrem neuesten Update können Sie Folgendes sehen:

Password changeable 15.02.2017 13:14:58

Es zeigt, dass das Passwort 30 Tage lang nicht geändert werden kann.

Nun haben Sie angegeben, dass Ihr Mindestkennwortalter auf 0 festgelegt ist.

Das führt mich zu zwei möglichen Schlussfolgerungen:

1. Entweder blockieren die Konten oder die Organisationseinheiten die Vererbung der Richtlinie ... obwohl die richtige Richtlinie mit "Nettokonten" angezeigt wird, scheint der bestimmte Benutzer sie nicht anzuwenden.

2. Es gibt einige DCs, die die Vererbung blockieren und nicht die richtigen Einstellungen erhalten. Siehe hier: https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable

Überprüfen Sie, ob in GPMC keine GPO-Blockierung durchgeführt wurde. Überprüfen Sie dann, ob der Domänencontroller, bei dem sich der Benutzer authentifiziert, zusammen mit seinem Computer und seinem Benutzerkonto authentifiziert ist. Alle drei haben "Vererbbare Berechtigungen vom übergeordneten Objekt dieses Objekts einschließen".

Ihre Ausgabe des net user /domain MyuserBefehls entspricht derzeit einem Mindestalter für das Kennwort von 31 Tagen. Es sieht so aus, als müssten Sie Ihr PSO für diesen Benutzer ändern und das Mindestalter für das Kennwort in diesem Objekt auf 0 setzen .

Haben Sie auch bestätigt, dass das PSO erfolgreich auf den Benutzer oder die Gruppe angewendet wurde? Wenn dies msDS-ResultantPSOder Fall ist, sollte auf dem AD-Konto des Benutzers ein Attribut angezeigt werden. Sie können dies einfach mit ADUC auf der Registerkarte Attribute oder durch Ausführen der folgenden PowerShell-Befehle überprüfen:

Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL

Nebenbei bemerkt, beim Ausführen werden net accountsdie Einstellungen für lokale Computerkonten zurückgegeben . Lokale Kontoeinstellungen werden getrennt von Domänenkontoeinstellungen konfiguriert.

Dummer Vorschlag, aber haben Sie überprüft, ob das Passwort des Benutzers den Anforderungen entspricht:

1. Passwörter müssen nicht der gesamten Benutzer enthalten samAccountName (Kontoname) Wert oder ganz display (Vollständiger Name) Wert. Bei beiden Überprüfungen wird nicht zwischen Groß- und Kleinschreibung unterschieden:
   • Der samAccountName wird nur dann vollständig überprüft, um festzustellen, ob er Teil des Kennworts ist. Wenn der samAccountName weniger als drei Zeichen lang ist, wird diese Prüfung übersprungen.
   • Der displayName wird nach Trennzeichen analysiert: Kommas, Punkte , Bindestriche oder Bindestriche, Unterstriche, Leerzeichen, Nummernzeichen und Tabulatoren. Wenn eines dieser Trennzeichen gefunden wird, wird der Anzeigename aufgeteilt und es wird bestätigt, dass alle analysierten Abschnitte (Token) nicht im Kennwort enthalten sind. Token mit einer Länge von weniger als drei Zeichen werden ignoriert und Teilzeichenfolgen der Token werden nicht überprüft. Zum Beispiel wird der Name "Erin M. Hagens" in drei Token aufgeteilt: "Erin", "M" und "Hagens". Da das zweite Token nur ein Zeichen lang ist, wird es ignoriert. Daher konnte dieser Benutzer kein Kennwort haben, das irgendwo im Kennwort entweder "erin" oder "hagens" als Teilzeichenfolge enthielt.
2. Passwörter müssen Zeichen aus drei der folgenden fünf Kategorien enthalten:
   • Großbuchstaben europäischer Sprachen ( Adurch Z, mit diakritischen Zeichen, griechischen und kyrillischen Zeichen)
   • Kleinbuchstaben europäischer Sprachen ( adurch z, scharf, mit diakritischen Zeichen, griechischen und kyrillischen Zeichen)
   • Basis 10 Ziffern ( 0durch 9)
   • Nichtalphanumerische Zeichen: ~!@#$%^&*_-+=`|\(){}[]:;"',.?/
   • Jedes Unicode-Zeichen, das als alphabetisches Zeichen kategorisiert ist, jedoch keine Groß- oder Kleinbuchstaben enthält. Dies schließt Unicode-Zeichen aus asiatischen Sprachen ein

Laut: https://technet.microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx