在我的Windowsnetworking中,运行Windows 2003的所有AD服务器(仍然),我遇到以下问题:“最大密码年龄”策略显然不适用。 即使有些用户确实被要求定期更换密码,显然很多人并没有被要求这样做。 对于使用passwordLastSet <=两年(!)前, lastlogonTimestamp >=三个星期前和userAccountControl=512 (此隐含条件特别意味着Password never expirescheckbox未选中)的用户的快速LDAPsearch给我一个关于70(!)个用户。 我可能会手动要求他们在下次login时更改他们的密码,但是我宁愿看到密码使用年限策略的作用(并且我没有更改它们就是为了得到有关策略的指示)。
我想我知道在哪里configuration这个:在最大密码年龄 ,期限下的默认域策略 。
我出于绝望而疯狂,根据文档应该没有帮助(但至less它不应该伤害,如果它?):由于“默认域名政策”的设置 – 显然 – 没有影响,我在“默认域控制器策略”,“[公司]域策略”,[公司]直stream策略,[公司]计算机策略](名字表明他们的范围相当好,我猜)但没有什么帮助。 概述:人们首先login到他们的个人电脑,这个个人电脑可以是任何版本的Windows,从8.1到甚至还在运行XP(在被转储的过程中)。 在这里他们要么在本地工作,要么主要login到RDP服务器,这些服务器都运行Windows 2008R2; 这后一个login名额外受到一个特定的“[公司] TS环回策略”,其中我还添加了maxpassword年龄设置 – 没有成功。 毕竟,已经login到本地PC应该已经过期了。
换句话说,我不知道这背后有什么问题,非常感谢。 与此同时,这已经使我陷入了几个月的困境,实际上现在它已经成为一个越来越大的脖子上的痛苦(见第一段中发现的实际密码年龄!!)。 虽然我们急于想要迁移AD版本,但这可能会将问题解决为一个副作用,如果在开始迁移之前能够解决这个问题(并且可能导入深层隐藏的问题),我们会更加高兴。
查看ADSIEDIT中的Domain对象。 我怀疑你会findmaxPwdAge属性设置为0.清除该值并刷新您的数据中心的政策,你应该看到密码到期发生。
上面的Hagen von Eitzen正确地注意到房间里的大象。 如果ADUC有checkbox“密码永不过期”勾选,GPO将无法覆盖并强制用户更改密码。 这个盒子必须是未经检查的!