AD帳號"密碼永久有效"修改後自動取消勾選
問題描述 ︰
特定使用者勾選 “password never expire issue”後約半小時勾選自動取消
發生原因 ︰
當特定使用者隸屬保護群組時會發生這樣的行為
解決方法 ︰
Windows Server 2003 和 Windows 2000 中的受保護群組:
· Administrators
· Account Operators
· Server Operators
· Print Operators
· Backup Operators
· Domain Admins
· Schema Admins
· Enterprise Admins
· Cert Publishers
根據目前的狀況,以下兩種方式建議
1.讓這些帳號不要隸屬保護群組
2.或是將Account Operators與Server Operators排除保護群組
將Account Operators與Server Operators排除保護群組做法
您可以透過ADSIEDIT.MSC修改
連到CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Domain,DC,COM
例如
輸入0000000001000003
代表Aaccount operators與Server Operators 停用
以下請參考
0. None 0000000001000000
1. AO 0000000001000001
2. SO 0000000001000002
3. AO + SO 0000000001000003
4. PO 0000000001000004
5. PO + AO 0000000001000005
6. PO + SO 0000000001000006
7. PO + AO + SO 0000000001000007
8. B0 0000000001000008
9. BO + AO 0000000001000009
10. BO + SO 000000000100000A
11. BO + SO + AO 000000000100000B
12. BO + PO 000000000100000C
13. BO + PO + AO 000000000100000D
14. BO + PO + SO 000000000100000E
15. BO + PO + SO + AO 000000000100000F
adminCount Flag若為1代表為保護群組內的成員,排除後該帳號的adminCount Flag不會自動被修改為0,必須手動修改保護群組重設受保護的帳號與群組的adminCount Flag為0
請由ADSIEDIT.MSC修改
修改後請重新嘗試將設定密碼永久有效觀察問題是否可以解決
參考
Delegated permissions are not available and inheritance is automatically disabled