I think I found the problem. My server was missing the KB5065426 update (OS Build 26100.6584), which solved the issue.
User cannot change his password when "User must change password at next logon" is checked
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(288, 60%, 37%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EMF%3C/text%3E%3C/svg%3E)
Michael Folbr
10
Reputační body
Hello, I have a problem. I installed Windows Server 2025 and DNS, DHCP, and Active Directory roles on it. I have a domain and a computer connected to it. When I log in to the client with a domain account, everything works, and the user logs in. When I enable the option "User must change password at next logon", and I try to log in, I am prompted to change the password, but when I enter a new password (which meets the conditions), the system tells me that the user must change the password.
I am really desperate. I set the password age to 0. The time is synchronized, the user can log in at any time and change the password via the ctrl + alt + delete menu. But as soon as I force the change via AD, it is not possible.
Windows pro firmy | Windows Server | Adresářové služby | Přihlášení uživatele a profily
Odpověď doporučená moderátorem
Počet dalších odpovědí: 2
Seřadit podle: Nejužitečnější
-
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(118.4, 37%, 21%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EHM%3C/text%3E%3C/svg%3E)
Henry Mai 6,930 Reputační body Nezávislý poradce2025-09-22T09:01:19+00:00 Dobrý den, Michaeli, jmenuji se Henry a chci se s vámi podělit o svůj názor na váš problém.
Narazili jste na klasický problém se službou Active Directory. K tomuto problému obvykle dochází, když dojde ke konfliktu mezi vynucováním zásad hesel a mechanismem změny hesla. Systém rozpozná, že je nutná změna hesla, ale po úspěšné změně hesla nedokáže správně aktualizovat atribut uživatele.
Zde je podrobný diagnostický plán, který můžete zvážit:
Krok 1: Znovu ověřte zásadu "Minimální stáří hesla". I když jste ji nastavili, musíme potvrdit, že je aplikována správně.
- Na řadiči domény otevřete konzolu pro správu zásad skupiny (gpmc.msc).
- Přejděte na výchozí zásady domény: Zásady konfigurace počítače > > Nastavení systému Windows > Nastavení zabezpečení > Zásady účtu > Zásady hesel.
- Zkontrolujte, zda je "Minimální stáří hesla" nastaveno na 0 dnů.
- Otevřete příkazový řádek jako správce na řadiči domény i na klientském počítači a spusťte
gpupdate /force, abyste se ujistili, že je zásada použita. - Jako rychlý test přejděte do vlastností uživatele v modulu Uživatelé a počítače služby Active Directory, zrušte zaškrtnutí políčka "Uživatel musí změnit heslo...", aplikujte, poté jej znovu zkontrolujte a znovu aplikujte.
Krok 2: Všechny změny hesel jsou přednostně zpracovávány řadičem domény, který zastává roli FSMO emulátoru primárního řadiče domény. Pokud klient nemůže komunikovat s tímto konkrétním řadičem domény, proces se nezdaří.
- Identifikujte emulátor primárního řadiče domény: Na řadiči domény otevřete PowerShell a spusťte příkaz netdom query fsmo. Poznamenejte si název serveru pro roli "PDC".
- Test připojení z klienta: Přihlaste se ke klientovi pomocí účtu správce, otevřete příkazový řádek a spusťte
nltest /dsgetdc:yourdomain.com /pdc. Tento příkaz musí být úspěšný a vrátit název emulátoru primárního řadiče domény. Pokud selže, máte problém s rozlišením DNS, který je třeba opravit.
Krok 3: Zkontrolujte kompatibilitu typu šifrování Kerberos
- Na řadiči domény upravte "Výchozí zásady řadičů domény" v souboru gpmc.msc.
- Přejděte na: Zásady konfigurace počítače > > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Možnosti zabezpečení.
- Vyhledejte zásadu "Zabezpečení sítě: Konfigurace typů šifrování povolených pro Kerberos".
- **** Povolte zásadu a ujistěte se, že **** jsou zaškrtnuté všechny následující typy, aby se maximalizovala kompatibilita:
- RC4_HMAC_MD5
- AES128_HMAC_SHA1
- AES256_HMAC_SHA1
- Spusťte
gpupdate /forcena stejnosměrném disku a před dalším testováním restartujte klientský počítač.
Krok 4: Ověřte pokročilá oprávnění a nastavení
- Zkontrolujte uživatelská oprávnění: V části Uživatelé a počítače služby Active Directory (se zapnutými "pokročilými funkcemi") přejděte do vlastností uživatele > > Rozšířené. Ujistěte se, že hlavní SELF má ** povoleno oprávnění** "Změnit heslo".
- Zkontrolujte registr: Na řadiči domény otevřete Editor registru a ověřte, zda je následující klíč nastaven na hodnotu 0 nebo neexistuje: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RefusePasswordChange
Doufám, že jeden z nich bude fungovat pro vás. Pokud vám tyto pokyny pomohou, můžete kliknout na "Přijmout odpověď" – pomůže to i ostatním najít užitečná řešení.
-
Michael Folbr 10 Reputační body
2025-09-22T20:26:07.5966667+00:00 I tried checking the minimum password age and then ran gpupdate /force.
I only use one domain controller; there are no other servers on the network. The command was executed and listed the controller used.
I set the encryption types and forced them through gpupdate /force.
The user has the option to change their password set in SELF.
I also tried deleting the user and creating another account (with a different name and login).
The problem still persists.
Přihlásit se a komentovat -
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(204.8, 13%, 29%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EMP%3C/text%3E%3C/svg%3E)
Miroslav Pragl 75,676 Reputační body Dobrovolný moderátor2025-09-22T09:02:17.3133333+00:00 Z jakeho OS se klienti prihlasuji? Z Win 11?
NEprihlasuji se pres RDP?
MP
-
Michael Folbr 10 Reputační body
2025-09-22T10:08:03.82+00:00 Přihlašují se lokálně z Windows 11 24H2, nepoužívají RDP
Přihlásit se a komentovat -