none
密碼最長有效期會一直變回42天 RRS feed

  • 問題

  • 我設置密碼原則的最長有效期為180天,並使用微軟的Account lockout stats檢查也正常套用了,

    過幾天後有USER通知他們的密碼顯示過期要求變更密碼,我用RSOP.MSC檢查密碼有效期也還是180天,

    但使用Account lockout stats看時發現最長有效期又變回42天,於是我使用gpupdate /force後才恢復成正常的180天,

    再過幾天又會重複以上狀況,請問是哪裡出了問題呢?此問題已困擾許久,煩請各位協助。

    補充:所有的使用者都會出現密碼過期狀況,本機原則皆未修改過

    • 已編輯 林法藍 2013年4月8日 上午 04:14
    2013年4月8日 上午 02:15

解答

  • 或許有種情形也可能發生這樣的狀況:

    就是某些時候貴單位的用戶長久時間連線不到 DC ,導致只套用本機的原則 (預設為 42 天)

    可以運用 "安全性設定精靈" 設定本機安全性原則,產生範本後,套用需要的天數至各電腦的本機

    以解決此問題!

    當然 DC 連線的問題也要查清楚才是根本之道!

    • 已提議為解答 AChange 2013年4月16日 上午 01:57
    • 已標示為解答 AChange 2013年4月18日 上午 02:17
    2013年4月12日 上午 10:43

所有回覆

  • DC 上是否有異常的錯誤訊息記錄呢?
    網域中所派發的群組原則有幾個,
    有檢查過是否有相衝突或覆蓋的原則呢?

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    微軟實戰課程日

    2013年4月11日 上午 02:59
    版主
  • Dear Askasu:

    感謝您的回覆,我在DC上未看到異常的錯誤訊息,目前有在OU下設定另一個群組原則,但密碼部分為未定義,

    奇怪的是我在設置完密碼原則後是可正常使用,也有套用到所有Client上,但過幾天才會發生所有使用者的密碼最長有效期都變成42天,

    必須要我在DC上輸入gpupdate /force才會恢復正常,出現異常的時間也不固定,這幾天所有使用者的原則都是正常的,

    我在IT邦幫忙也有發問,或許有一些資料可做為參考,http://ithelp.ithome.com.tw/question/10118391?#ooa_hash


    • 已編輯 林法藍 2013年4月11日 上午 03:30
    2013年4月11日 上午 03:30
  • 方便測試看看移掉另一個有套用的群組原則嗎?
    所有使用者最多只套用到兩個原則設定嗎?

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    微軟實戰課程日

    2013年4月12日 上午 06:07
    版主
  • 所有使用者都只有套用到兩個原則,目前兩個原則都套用的情況下都還是正常的,但擔心會不會哪天又變回42天。

    2013年4月12日 上午 09:25
  • 或許有種情形也可能發生這樣的狀況:

    就是某些時候貴單位的用戶長久時間連線不到 DC ,導致只套用本機的原則 (預設為 42 天)

    可以運用 "安全性設定精靈" 設定本機安全性原則,產生範本後,套用需要的天數至各電腦的本機

    以解決此問題!

    當然 DC 連線的問題也要查清楚才是根本之道!

    • 已提議為解答 AChange 2013年4月16日 上午 01:57
    • 已標示為解答 AChange 2013年4月18日 上午 02:17
    2013年4月12日 上午 10:43
  • 就在剛剛又出現相同狀況,登入DC看又變成42天,馬上執行gpupdate /force但無任何效果,

    就在東翻西找未更改任何設定的六、七分鐘後再執行一次gpupdate /force後又恢復正常,

    似乎每次都是在週六晚上發生此狀況。

    此時登入某台DC時發現畫面停留在發生異常關機訊息,檢查三台DC的Default Domain Policy都正常,

    檢查各DC Event log Application裡都有出現錯誤,Event ID:1085

    Description: The Group Policy client-side extension Scripts failed to execute. Please look for any error reported earlier by that extension.

    看來DC真的有問題,看到許前輩的留言突然想到在套用此原則前,以前的主DC曾經掛掉,是用第二台DC搶奪五大角色,不知道和這個有沒有關係。

    明天即將前往教召,需等一個禮拜後才能處理了,目前都先將所有使用者勾選「密碼永不過期」選項,希望這週不要再發生任何狀況了 <(_ _)>
    2013年4月13日 下午 03:15
  • 應該就是 DC 角色異常導致的結果!

    建議作法如下:

    1. 先進行 Metadata Cleanup 以清除 AD 中的垃圾資料

        http://technet.microsoft.com/zh-tw/library/cc816907(v=WS.10).aspx

    2. 接著確認 DCs 間的複寫運作正常,包括 DNS 結構與 Site 架構

       Repadmin /syncall /P /e (P 需大寫)

       nltest /dsquerydns

       ...

       還有相關的設定與指令

    3. 最後查查網路

    2013年4月14日 上午 07:52