Chính sách mật khẩu chi tiết không có hiệu lực - phải đợi lần thay đổi mật khẩu tiếp theo?

Tôi đã đặt Chính sách mật khẩu chi tiết với độ tuổi mật khẩu tối đa là 180 ngày cùng với các cài đặt khác tương tự như chính sách mật khẩu hiện có.

Tôi đặt số ưu tiên thành một số thấp hơn và Nó được áp dụng cho một nhóm bảo mật. Kết quả chạy lệnh powershell vẫn hiển thị hết hạn mật khẩu phù hợp với quy tắc mật khẩu chính sách miền mặc định.

PS C:\Windows\system32> Get-ADDomain | Tên fl,Chế độ miền


Tên: contoso
Chế độ tên miền: Windows2008R2Domain

Chính sách FGPP của tôi:

Áp dụng cho : {CN=Password_Policy,DC=contoso,DC=com}
Kích hoạt độ phức tạp: Đúng
Tên phân biệt : CN=Password_Policy,CN=Bộ chứa cài đặt mật khẩu,CN=Hệ thống,DC=contoso,DC=com
Thời gian khóa : 00:30:00
LockoutObservationWindow : 00:30:00
Ngưỡng khóa : 3
MaxPasswordTuổi : 180.00:00:00
MinPasswordAge : 1.00:00:00
Độ dài mật khẩu tối thiểu: 8
Tên: Mật khẩu_Chính sách
ObjectClass: msDS-Cài đặt mật khẩu
Đối tượngGUID : 82be1382-9f85-447b-b618-ac1fd663f2e0
PasswordHistoryCount : 8
Ưu tiên : 1
ReversibleEncryptionEnabled : Sai


Get-ADUserResultantPasswordPolicy người dùng


Áp dụng cho : {CN=Password_Policy,DC=contoso,DC=com}
Kích hoạt độ phức tạp: Đúng
Tên phân biệt : CN=Password_Policy,CN=Bộ chứa cài đặt mật khẩu,CN=Hệ thống,DC=contoso,DC=com
Thời gian khóa : 00:30:00
LockoutObservationWindow : 00:30:00
Ngưỡng khóa : 3
MaxPasswordTuổi : 180.00:00:00
MinPasswordAge : 1.00:00:00
Độ dài mật khẩu tối thiểu: 8
Tên: Mật khẩu_Chính sách
ObjectClass: msDS-Cài đặt mật khẩu
Đối tượngGUID : 82be1382-9f85-447b-b618-ac1fd663f2e0
PasswordHistoryCount : 8
Ưu tiên : 1
ReversibleEncryptionEnabled : Sai

Trước chính sách mật khẩu chi tiết

PS C:\Windows\system32> Get-ADUser -identity USER âProperties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Tên hiển thị Ngày hết hạn           
----------- ----------           
USER 31/5/2022 10:36:58 SA

Sau chính sách mật khẩu chi tiết

PS C:\Windows\system32> Get-ADUser -identity USER âProperties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Tên hiển thị Ngày hết hạn           
----------- ----------           
USER 31/5/2022 10:36:58 SA

FGPP "Áp dụng cho" cần phải là nhóm bảo mật chứa tài khoản người dùng của (các) thành viên. Màn hình đầu ra của bạn áp dụng cho chính FGPP PSO.

Get-ADUserResultantPasswordPolicy xxx


Áp dụng cho : {CN=HQ Người dùng,OU=Nhóm,OU=HQ,DC=contoso,DC=com}
Kích hoạt độ phức tạp: Đúng
Tên phân biệt : CN=HQ Người dùng PSO,CN=Bộ chứa cài đặt mật khẩu,CN=Hệ thống,DC=contoso,DC=com
Thời gian khóa : 00:30:00
LockoutObservationWindow : 00:30:00
Ngưỡng khóa : 3
MaxPasswordTuổi : 90.00:00:00
Tuổi mật khẩu tối thiểu : 00:00:00
Độ dài mật khẩu tối thiểu: 14
Tên: Người dùng HQ PSO
ObjectClass: msDS-Cài đặt mật khẩu
Đối tượngGUID : 3c565430-a372-42b9-92da-9098f7d56d7a
PasswordHistoryCount : 24
Ưu tiên : 1
ReversibleEncryptionEnabled : Sai

Ngoài ra, bạn có thể xác nhận điều này trong dsa.msc bằng cách kiểm tra thuộc tính tính toán msds-ResultantPSO của tài khoản người dùng.