locked
群組原則-密碼必須符合複雜性需求的規則派送異常 RRS feed

  • 問題

  • 事情是這樣的

    我在dc上設定了一個密碼複雜性需求的GPO,然後派送到公司的AD環境下

    我拿了五台電腦來驗證,gpo都有成功派送(利用gpresult 跟rsop做確認)

    但是五台電腦在第一次修改密碼時,都可以修改成數字12345678而且不會出現錯誤

    在第二次修改密碼時才會出現不符合複雜性需求的錯誤。

    就結果來看,這種套用狀態是失敗的,因為使用者自己改密碼,連改兩次的可能性極低

    想請問各位前輩,這是發生什麼樣的問題?

    另外附上其他的測試過程

    1.修改gpo後,用戶電腦重新gpupdate /force套用

    2.修改gpo後,用戶電腦重新開機套用

    3.新建gpo後,用戶電腦重新gpupdate /force套用

    4.新建gpo後,用戶電腦重新開機套用

    5.新建gpo後,設定強制套用,用戶電腦重新gpupdate /force套用

    6.新建gpo後,設定強制套用,用戶電腦重新開機套用

    測試結果均相同,第一次使用者自行變更密碼可改無複雜性的密碼(如12345678)




    • 已編輯 micelia 2016年9月19日 上午 10:15
    2016年9月19日 上午 10:14

解答

  • 經測試還原domain policy也無法解決問題

    後來跟微軟開support了

    他們的解法是:

    在Default Domain Controllers Policy中啟用"密碼必須符合複雜性需求"的規則

    然後問題就解了。

    令我不解的是,為什麼會在dc policy中設定....

    • 已標示為解答 micelia 2016年10月24日 上午 06:38
    2016年10月24日 上午 06:37

所有回覆

  • 以下的要求必須正確,這樣才有作用:

    1. 加入網域電腦的密碼原則必須是套用在 "網域" 層級的 GPO 才會生效

    2. 預設的 "Default Domain Policy" 已經設定了密碼原則,如果在網域層級新增了自訂的 GPO,需注意衝突生效的結果

    3. 建議網域共同的密碼原則,直接設定在 "Default Domain Policy" 此 GPO

    4. 特定用戶或全域群組成員要有與網域不同的設定,使用 "更細緻調整的密碼原則 (Fine-Granted Password Policies)" 方式定義

    2016年9月20日 上午 01:14
  • Hi micelia,

    您本來環境的密碼有設定什麼原則嗎?

    您可以能要注意一下GPO的套用順序和套用對象,依照您的問題看來,可能是GPO被override的原因造成。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2016年9月20日 上午 01:24
  • 感謝您的提醒

    但由於AD環境是中途接手,許多內容都在過去已經更動

    Default Domain Policy已不存在,取代的是一條自建的domain policy且有放置在"網域層級"

    目前的情況也確實是整個網域共用一個密碼原則,沒有其他的獨立密碼原則。

    覺得奇怪的是為什麼從群組原則結果組跟gpresult中看到確實是有套用成功,但是第一次的更改密碼

    卻完全沒有包含複雜性,要至第二次修改密碼以後才會正常。

    2016年9月20日 上午 01:53
  • Hi micelia,

    就如同您所提,您的AD的內容可能再過去您尚未接手的時候就被更動過,我在我的lab做,新增一個User到OU(設定都是預設,例如:登入後強制更改密碼),密碼複雜度原則就生效了。

    這邊有幾個思考的方向提供給您做參考:

    1. 建議您直接在DC上嘗試變更密碼,看是否有這樣的情況發生

    2. 您也可以透過net account 指令去確認是否密碼複雜度原則是有套用的,因為在gpresult上是無法明確看出來的

    3. 誠如上面討論到的,這條GPO應該是有被其他條影響到,所以會造成異常的狀況,您也可以考慮重設GPO(default domain policy),但是這樣做的impact比較大,您可以評估一下。

    4. 您也許也可以提供您是怎麼設定第一次和第二次密碼以及環境內設定的其他條GPO,或許我也可以模擬您的環境測試看看。

    希望上述可以幫助到您


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.



    • 已編輯 Jerry.Hong 2016年9月23日 上午 05:26
    2016年9月20日 上午 03:13
  • 建議還原內建的Default Domain Policy,這樣比較容易找到問題的所在!

    輸入下列指令:
    dcgpofix /ignoreschema /target:Domain


    2016年9月22日 下午 12:39
  • 經測試還原domain policy也無法解決問題

    後來跟微軟開support了

    他們的解法是:

    在Default Domain Controllers Policy中啟用"密碼必須符合複雜性需求"的規則

    然後問題就解了。

    令我不解的是,為什麼會在dc policy中設定....

    • 已標示為解答 micelia 2016年10月24日 上午 06:38
    2016年10月24日 上午 06:37
  • 測試結果如下

    1.dc上是具備複雜性的

    2.netaccounts是看到正確套用的

    3.重設domain policy之後,結果相同。

    4.後來測試發現第二次變更密碼並無符合複雜性,而是完全無法變更密碼(即便群組原則設定最小密碼期限為0)

    2016年10月24日 上午 07:38