活动目录:用户必须在下次login时更改密码,防止用户login

当我在Windows Server 2008Windows Server 2012上的Active Directory重置用户密码并检查选项时, User must change password at next logonUser must change password at next logon才能阻止用户login。

但是,当我不检查此选项并重置密码并解锁他们的帐户时,用户可以成功login。 这显然存在一些安全问题。

我不是很熟悉AD,知道这是为什么发生的,有没有人看过这个?

我唯一一次看到类似的情况是我们部署了一个只允许某些端口的NAC代理,除非用户已经login了。基本上,networking服务允许端口login,但是阻塞了更改密码所需的端口。

如果您使用的是某种类似的产品,或者处于类似情况,则除了LDAP端口(389和636)之外,还需要确保端口464处于打开状态。 这里有一个完整的AD端口列表: http : //technet.microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspx

你的域名function级别是2012吗? 听起来就像你的密码策略有为密码年龄定义的条目。 (我认为2012年的规定,用户必须等待一天,默认情况下更改密码。)你应该看看你的组策略密码设置。

http://technet.microsoft.com/en-us/library/hh994572(v=ws.10).aspx

  1. 运行tsconfig.msc
  2. 右键单击RDP连接“RDP-Tcp”,然后单击“属性”
  3. 在常规选项卡下,将安全层更改为“RDP安全层”