AD帳號"密碼永久有效"修改後自動取消勾選

問題描述

特定使用者勾選 “password never expire issue”後約半小時勾選自動取消

發生原因

當特定使用者隸屬保護群組時會發生這樣的行為

解決方法

Windows Server 2003 和 Windows 2000 中的受保護群組:

· Administrators

· Account Operators

· Server Operators

· Print Operators

· Backup Operators

· Domain Admins

· Schema Admins

· Enterprise Admins

· Cert Publishers

根據目前的狀況,以下兩種方式建議

1.讓這些帳號不要隸屬保護群組

2.或是將Account Operators與Server Operators排除保護群組

將Account Operators與Server Operators排除保護群組做法

您可以透過ADSIEDIT.MSC修改

連到CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Domain,DC,COM

例如

clip_image002

輸入0000000001000003

代表Aaccount operators與Server Operators 停用

以下請參考

0. None 0000000001000000
1. AO 0000000001000001
2. SO 0000000001000002
3. AO + SO 0000000001000003
4. PO 0000000001000004
5. PO + AO 0000000001000005
6. PO + SO 0000000001000006
7. PO + AO + SO 0000000001000007
8. B0 0000000001000008
9. BO + AO 0000000001000009
10. BO + SO 000000000100000A
11. BO + SO + AO 000000000100000B
12. BO + PO 000000000100000C
13. BO + PO + AO 000000000100000D
14. BO + PO + SO 000000000100000E
15. BO + PO + SO + AO 000000000100000F

adminCount Flag若為1代表為保護群組內的成員,排除後該帳號的adminCount Flag不會自動被修改為0,必須手動修改保護群組重設受保護的帳號與群組的adminCount Flag為0

請由ADSIEDIT.MSC修改

clip_image004

修改後請重新嘗試將設定密碼永久有效觀察問題是否可以解決

參考

Delegated permissions are not available and inheritance is automatically disabled

https://support.microsoft.com/kb/817433/en-us