最新分享

[Active Directory]在DC上新建用户，Windows无法设置密码

问题描述：在Windows 2003域控制器上为域用户创建新账户,设置好密码点完成时，出现如下提示："Windows无法设置xxx的密码，原因是：密码不满足密码策略的要求。检查密码最小长度、密码复杂性和密码历史的要求。" 原因：密码不符合组策略的密码策略要求！ 解决方法：在根域(如server.com)上点右键，选择属性，切换到组策略选项卡；选择下面的“编辑”选项，打开域组策略编辑器；依次展开"计算机配置"---"Windows 设置"---"安全设置"---"账户策略"---"密码策略"；接着依次把“密码必须符合复杂性要求”禁用，并且把“密码长度最小值”设置为合适的值；最后运行"gpupdate"命令来刷新组策略编辑器，解决完毕！ 补充： 1、密码必须符合复杂性要求 描述：该安全设置确定密码是否符合复杂性要求。如启用该策略，则密码必须符合以下最低要求：不包含全部或部分的用户帐户名；长度至少为六个字符；包含来自以下四个类别中的三个的字符： 英文大写字母（从 A 到 Z） 英文小写字母（从 a 到 z） 10 个基本数字（从 0 到 9） 非字母字符（例如，!、$、#、%）；更改或创建密码时，会强制执行复杂性要求。 默认值：在域控制器上已启用。 在独立服务器上已禁用。 注意：默认情况下，成员计算机的配置与其域控制器的配置相同。 配置此安全设置：可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置\Windows 设置\安全设置\帐户策略\密码策略\ 有关如何配置密码策略设置的具体说明，请参阅应用或修改密码策略。详细信息，请参阅：强密码 密码的最佳操作 密码策略 安全配置管理器工具 2、密码长度最小值 描述：该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为 1 到 14 个字符之间的某个值，或者通过将字符数设置为 0，可设置不需要密码。 默认值：在域控制器上为 7。 在独立服务器上为0。 注意：默认情况下，成员计算机的配置与其域控制器的配置相同。 配置此安全设置：可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置\Windows 设置\安全设置\帐户策略\密码策略\ 有关如何配置密码策略设置的具体说明，请参阅应用或修改密码策略。详细信息，请参阅：密码的最佳操作 密码策略 安全配置管理器工具 3、强制密码历史 描述：重新使用旧密码之前，该安全设置确定与某个用户帐户相关的唯一新密码的数量。该值必须为 0 到 24 之间的一个数值。该策略通过确保旧密码不能继续使用，从而使管理员能够增强安全性。 默认值：在域控制器上为 24。 在独立服务器上为 0。 注意：默认情况下，成员计算机的配置与其域控制器的配置相同。要维持密码历史记录的有效性，则在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码。有关密码最短使用期限安全策略设置的相关信息，请参阅密码最短使用期限。 配置此安全设置：可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置\Windows 设置\安全设置\帐户策略\密码策略\ 有关如何配置密码策略设置的具体说明，请参阅应用或修改密码策略。详细信息，请参阅：密码的最佳操作 密码策略 安全配置管理器工具 4、用可还原的加密来存储密码 描述：该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此，除非应用程序有比保护密码信息更重要的要求，否则不必启用该策略。 当使用质询握手身份验证协议 (CHAP) 通过远程访问或 Internet 身份验证服务(IAS) 进行身份验证时，该策略是必需的。在 Internet 信息服务 (IIS) 中使用摘要式验证时也要求该策略。 默认值：已禁用。 配置此安全设置：可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置\Windows 设置\安全设置\帐户策略\密码策略\ 有关如何配置密码策略设置的具体说明，请参阅应用或修改密码策略。详细信息，请参阅：密码的最佳操作 密码策略 安全配置管理器工具 5、密码最短使用期限 描述：该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置 1 到 998 天之间的某个值，或者通过将天数设置为 0，允许立即更改密码。 密码最短使用期限必须小于密码最长使用期限，除非密码最长使用期限设置为 0（表明密码永不过期）。如果密码最长使用期限设置为 0，那么密码最短使用期限可设置为 0 到 998 天之间的任意值。 如果希望强制密码历史有效，请将密码最短有效期限配置为大于 0。如果没有密码最短有效期限，则用户可以重复循环通过密码，直到获得喜欢的旧密码。默认设置不遵从这种推荐方法，因此管理员可以为用户指定密码，然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为 0，则用户不必选择新密码。因此，默认情况下将密码历史记录设置为 1。 默认值：在域控制器上为 1。 在独立服务器上为 0。 注意：默认情况下，成员计算机的配置与其域控制器的配置相同。 配置此安全设置：可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置\Windows 设置\安全设置\帐户策略\密码策略\ 有关如何配置密码策略设置的具体说明，请参阅应用或修改密码策略。详细信息，请参阅：密码的最佳操作 密码策略 安全配置管理器工具 6、密码最长使用期限 描述：该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在 1 至 999 天之间，或将天数设置为 0，可指定密码永不过期。如果密码最长使用期限在 1 至 999 天之间，那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为 0，则密码最短使用期限可以是 1 至 998 天之间的任何值。 注意：使密码每隔 30 至 90 天过期一次是一种安全最佳操作，这取决于您的环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。 默认值：42。 配置此安全设置：可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置\Windows 设置\安全设置\帐户策略\密码策略\ 有关如何配置密码策略设置的具体说明，请参阅应用或修改密码策略。详细信息，请参阅：密码的最佳操作 密码策略 安全配置管理器工具