我在ADFS updatepassword页面看到一个奇怪的问题。 我们正在批量创build用户,他们正在尝试更改密码。 但是,大约有50%的帐户无法更改其密码,则会logging以下事件:
以下用户的密码更改失败:
其他数据
用户:DOMAIN \用户名
设备证书:
尝试更改密码的服务器:ad01.ad.domain错误详细信息:NewPasswordHistConflict
该错误将表明密码与前面的密码相同,但我们已经testing了几个不同的密码,仍然得到相同的错误。 在有问题的账户和没有的账户之间我找不到什么特别的东西。
用户使用此Powershell行创build:
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName` -GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath` -UserPrincipalName "[email protected]" -AccountPassword $securePassword ` -Enabled $true 有任何想法吗? 域控制器和ADFS是Windows 2012R2。
我已经看到了这些types的问题(虽然不是那个特定的问题),因为最低密码年龄政策。 如果设置为1天,则意味着一旦用户更改了密码,他们在1天内不能再这样做。
所以当你批量创build你需要一个虚拟密码,因为你不能创build一个没有用户的用户,然后用户在同一天更改密码等。
我对使用ADFS更改密码并不熟悉,但根据我的经验,AD没有明确说明新密码被拒绝的原因。 新密码通常只是一个错误,违反了密码策略的一些方面(历史,复杂性,长度,最小年龄等)。
为了解决问题,我可能会尝试修改你的密码策略。 首先将密码记忆值设置为0,这样密码历史就不会再成为问题了。 如果这样做不能解决这个问题,那么一直放松政策,直到失败消失,并希望能够解决真正的问题。