当我在Windows Server 2008或Windows Server 2012上的Active Directory重置用户密码并检查选项时, User must change password at next logon时User must change password at next logon才能阻止用户login。
但是,当我不检查此选项并重置密码并解锁他们的帐户时,用户可以成功login。 这显然存在一些安全问题。
我不是很熟悉AD,知道这是为什么发生的,有没有人看过这个?
我唯一一次看到类似的情况是我们部署了一个只允许某些端口的NAC代理,除非用户已经login了。基本上,networking服务允许端口login,但是阻塞了更改密码所需的端口。
如果您使用的是某种类似的产品,或者处于类似情况,则除了LDAP端口(389和636)之外,还需要确保端口464处于打开状态。 这里有一个完整的AD端口列表: http : //technet.microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspx
你的域名function级别是2012吗? 听起来就像你的密码策略有为密码年龄定义的条目。 (我认为2012年的规定,用户必须等待一天,默认情况下更改密码。)你应该看看你的组策略密码设置。
http://technet.microsoft.com/en-us/library/hh994572(v=ws.10).aspx