"Пароль никогда не истекает" выделен серым цветом?
У меня есть пользователи домена в Azure AD DS.
Мне нужно установить для некоторых из этих пользователей пароли, срок действия которых не истекает.
Когда я захожу в "Active Directory Users and Computers" на машине в домене, опция "Password never expires" отмечена серым цветом.
Когда я захожу в office 365 и проверяю политику истечения срока действия паролей, она настроена на то, чтобы пароли никогда не истекали.
Когда я смотрю на GPO одной из моих машин, у меня нет настроек истечения срока действия пароля.
Когда я захожу на ту же машину и запускаю Get-ADUser в powershell, я получаю:
Однако через 70 дней срок действия паролей пользователей истекает (в Windows Server), а не для входа в Office 365.
Может ли кто-нибудь подсказать мне, где это происходит? Я немного запутался, и мне нужно как можно скорее исправить это!
Спасибо!
Правка 1: Я глобальный администратор.
Возможно, вам потребуется создать детальную политику паролей
Во-первых, убедитесь, что вы уже создали виртуальную машину управления:
Вы можете настроить политики паролей в домене, открыв «Центр администрирования Active Directory» и Создать подробные политики паролей. . Руководство можно найти здесь:
https://activedirectorypro.com/create-fine-grained-password-policies/
Если пользователи регистрируются в O365, используя свои учетные записи Azure AD, однако расследование должно начаться на фронте Azure AD.
Непонятно, где происходит проверка пароля пользователя:
- Если вы используете синхронизацию хэша паролей: проверьте текущие политики паролей, которые у вас есть в Azure AD: https://docs.microsoft.com /en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
- Если вы используете ADFS/сквозную аутентификацию: проверьте пароль локального домена политики, или сервер ADFS, или агент сквозной проверки подлинности.
Я очень сомневаюсь, что это связано, но поскольку просроченный пароль в AADDS не должен влиять на O365: но над этим тоже стоит поработать: https://docs.microsoft.com/en-us/azure/ active-directory-domain-services/password-policy
Используете ли вы синхронизацию каталогов (AD Connect) между вашей AD и Azure AD? Это ключевой вопрос здесь.
Если учетная запись пользователя поступает из AD, срок действия пароля (и проверка подлинности в целом) управляется вашей локальной AD; учетная запись пользователя является родной для Azure AD, все управляется оттуда.
Поскольку вы показали снимок экрана для учетной записи пользователя в ADUC, я предполагаю, что учетная запись пользователя существует в AD и синхронизируется с Azure AD; в этом случае правильно установить свойства учетной записи пользователя (например, бессрочный срок действия пароля) из AD; Azure AD не будет играть в этом никакой роли, поскольку локальная AD является основным источником информации об учетных записях пользователей.
Почему эти параметры недоступны? Это действительно похоже на проблему с разрешением; Пользователи и компьютеры Active Directory (сокращенно AUDC) с радостью позволят любому (прошедшему проверку подлинности) просматривать данные AD, но если вам не разрешено выполнять операцию, она будет недоступна или даже не будет отображаться вообще.
Если вы видите в AD объект, который не можете редактировать, или если вы пытаетесь изменить его и получаете сообщение об ошибке «Отказано в доступе», это означает, что у вас недостаточно прав для этого.
Когда вы являетесь администратором домена (и фактически действуете как таковой, потому что UAC может быть королевской головной болью), вы должны иметь возможность редактировать что угодно. Но это по-прежнему вопрос разрешений: администраторы домена могут редактировать что угодно, потому что право на это автоматически предоставляется группе «Администраторы домена». Если кто-то изменил разрешения для OU или самого объекта пользователя и удалил установленное по умолчанию право доступа «Администраторы домена имеют полный доступ», вы не сможете прикоснуться к нему.
Итог: проверьте разрешения для объекта пользователя (и/или для подразделения, в котором он расположен) и убедитесь, что «Администраторы домена» имеют полный доступ. Если это не так, добудьте принудительно; Администраторы домена всегда могут получить право собственности на все, что им не принадлежит.