windows – 由于复杂性,用户无法更改密码

在我的一个客户的子域名中,他遇到的问题是,由于“复杂等等”,一些(看起来像)随机用户无法更改密码.然而,在以下情况下,这不是真的：

a)管理员重置为新密码或

b)用户有“必须在登录时重置密码”的标志

到目前为止我尝试了什么：

> GPO：
只有默认域策略,其中包含密码设置.设置是：

>长度10
>启用复杂性
>历史记录设置为5,但在这种情况下无关紧要(尝试了不同的密码)
>其他一切都未定义或0

> PDC上的密码提供者：我读过你可以通过注册表使用自定义密码提供者.我检查了一个有效的域名.这似乎是默认的.我看到的只是设置EveryoneIncludesAnonymous = 0.
>在我为他创建PSO之后,用户仍然无法更改他的PW,配置应该有效.似乎他们没有被应用.
> PDC可用
>域控制器上的Set-ADAccountPassword也不起作用.
>用户帐户的安全描述符看起来很不错.每个人都有权更改密码.
>在ADUC中,用户属性正常.用户无法更改密码= $false等.

输出净用户/域Myuser

User name                    cardm004
Full Name                    Cardman,Michael
Comment                      Test User
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            16.01.2017 13:14:58
Password expires             Never
Password changeable          15.02.2017 13:14:58
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 login.cmd
User profile
Home directory
Last logon                   18.01.2017 08:14:01

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

净账户的输出

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          37201
Minimum password length:                              10
Length of password history maintained:                5
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        Workstation

我现在没有想法了.我可以尝试找出用户无法更改密码的原因？

更新

我发现,组策略建模显示了不同用户的不同配置.对于无法更改其密码的用户,不会显示“密码设置”和“帐户锁定策略”部分.所以我假设,域控制器上可能存在复制问题.我用repadmin / showrepl检查了replicationstatus,结果还可以.我在所有3个域控制器上检查了sysvol中的文件内容,它们是相同的.所以不知何故,DC是最新的,但计算机没有得到配置.

GPUpdate / force和GPResult / r,或GPResult / h file.html看起来不错,不会显示任何错误.在GPUpdate / force没有更改错误后重新启动.
GPResult / r显示正确的站点,并显示快速连接,默认域策略(设置完成的位置)显示为已应用.

更新2
我创建了一个额外的GPO来设置密码设置.为此我创建了一个OU,我将计算机和用户帐户移动到该OU,并将该GPO与enforced = $true链接到该OU. GPResult / h显示正确的应用配置,Net user / domain testuser没有.本地策略设置与GPO相同.

问题仍然存在.

更新3
客户在微软开了一张票.他们还没有解决方案,但发现,GP似乎存在问题：用户和他的设备被移动到一个单独的OU中,以便在继承禁用的情况下进行测试.他们使用多个密码设置为其应用了新的GPO. GPResult显示更新的设置,但用户仍然无法更改其密码.

然后,他们删除了GP-link并再次启用了继承,test-GPO的设置保留在系统上.未应用默认域策略的设置(它们低于测试GPO中的设置),用户仍然无法更改其密码.

我会告诉你更新,也许有一天你会遇到这个问题,或者在微软之前找到解决方案.