Пользователь может не изменить свой пароль, если вы настроили параметр "Пользователь должен изменить пароль при следующем входе"

  • Статья

В этой статье содержатся некоторые сведения о проблеме, из-за чего пользователь не сможет изменить свой пароль, если вы настроили параметр "Пользователь должен изменить пароль при следующем входе".

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 320325

Сводка

Если вы являетесь администратором, вы можете настроить параметр Пользователь должен изменить пароль при следующем входе в учетную запись пользователя при сбросе пароля. В этом случае пользователь должен изменить пароль при следующем входе в систему. Однако если этот параметр настроен и пользователю будет предложено изменить пароль, задержка репликации может привести к тому, что пользователь получит сообщение о том, что старый пароль неверен после ввода старого пароля. В этой статье описывается сценарий, в котором возникает эта проблема.

Дополнительная информация

При сбросе пароля пользователя можно настроить параметр Пользователь должен изменить пароль при следующем входе в систему . Как правило, эта операция выполняется на основном контроллере домена (PDC) master, который может находиться на сайте, отличном от сайта, на котором выполняется вход пользователя. Таким образом, может возникнуть задержка репликации, которая может вызвать симптомы, описанные в предыдущем разделе. Эта проблема описана в следующем сценарии:

  1. Пользователь забыл пароль (например, password1), а затем сбросил пароль на password2.
  2. Пользователь на удаленном сайте использует новый пароль сброса (password2) для входа в локальный контроллер домена (удаленный контроллер домена).
  3. Удаленный контроллер домена не распознает пароль2 в качестве пароля (он знает только пароль1). Контроллер домена перенаправит (цепочки) запрос на вход в операции PDC master.
  4. Операции PDC master удовлетворяет запросу на вход, а затем передает на удаленный контроллер домена сообщение о том, что пользователь должен изменить свой пароль.
  5. Это сообщение передается обратно на клиентский компьютер, который предлагает пользователю изменить пароль.
  6. При появлении запроса на изменение пароля пользователю предлагается ввести старый и новый пароль. В этом случае пользователь вводит новый пароль сброса (password2) в качестве старого пароля, а затем вводит новый пароль.
  7. Клиент снова обращается к удаленному контроллеру домена (так как этот контроллер домена находится на том же сайте, что и клиент), чтобы изменить пароль. Однако удаленный контроллер домена имеет пароль, который пользователь использовал во время запроса на сброс пароля (password1) и не распознает пароль2 как старый пароль.
  8. Поскольку password2 не является правильным старым паролем (в соответствии с удаленным контроллером домена), операция изменения пароля завершается сбоем. Однако после репликации нового пароля сброса (password2) на удаленный контроллер домена, если пользователь вводит password2 при появлении запроса на ввод старого пароля, операция смены пароля завершается успешно.

Примечание.

Вы можете уменьшить задержку в сети, изменив пароль пользователя на контроллере домена на сайте, на который пользователь входит. Чтобы изменить фокус оснастки "Пользователи Active Directory & компьютеры" на контроллер домена на сайте, щелкните правой кнопкой мыши верхнюю часть левой области оснастки "Пользователи Active Directory & компьютеры" и выберите пункт Подключиться к контроллеру домена. Теперь вы можете найти контроллер домена на сайте, где находится пользователь, и изменить пароль.