Użytkownik może nie mieć możliwości zmiany hasła w przypadku skonfigurowania ustawienia "Użytkownik musi zmienić hasło przy następnym logowaniu"

  • Artykuł

Ten artykuł zawiera informacje o problemie, który może nie być w stanie zmienić hasła, jeśli skonfigurujesz ustawienie "Użytkownik musi zmienić hasło przy następnym logowaniu".

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 320325

Podsumowanie

Jeśli jesteś administratorem, możesz skonfigurować ustawienie Użytkownik musi zmienić hasło podczas następnego logowania na koncie użytkownika, jeśli resetujesz hasło. Jeśli to zrobisz, użytkownik musi zmienić swoje hasło przy następnym logowaniu. Jeśli jednak to ustawienie zostanie skonfigurowane, a użytkownik zostanie poproszony o zmianę hasła, opóźnienie replikacji może spowodować, że użytkownik otrzyma komunikat informujący o tym, że jego stare hasło jest nieprawidłowe po wpisaniu starego hasła. W tym artykule opisano scenariusz, w którym występuje ten problem.

Więcej informacji

Jeśli resetujesz hasło użytkownika, możesz skonfigurować ustawienie Użytkownik musi zmienić hasło przy następnym logowaniu . Zazwyczaj ta operacja jest wykonywana na głównym serwerze operacji podstawowego kontrolera domeny (PDC), który może znajdować się w lokacji innej niż lokacja, do której loguje się użytkownik. W związku z tym może wystąpić opóźnienie replikacji, co może powodować objawy opisane w poprzedniej sekcji. W poniższym scenariuszu opisano ten problem:

  1. Użytkownik zapomina o swoim haśle (na przykład password1), a następnie resetuje hasło do hasła password2.
  2. Użytkownik w lokacji zdalnej używa nowo zresetowanego hasła (password2), aby zalogować się do lokalnego kontrolera domeny (zdalnego kontrolera domeny).
  3. Zdalny kontroler domeny nie rozpoznaje hasła password2 jako hasła (zna tylko hasło1). Kontroler domeny przekazuje (łańcuchy) żądania logowania do wzorca operacji kontrolera domeny.
  4. Wzorzec operacji kontrolera PDC spełnia żądanie logowania, a następnie przekazuje komunikat do zdalnego kontrolera domeny, który stwierdza, że użytkownik musi zmienić swoje hasło.
  5. Ten komunikat jest przekazywany z powrotem do komputera klienckiego, co monituje użytkownika o zmianę hasła.
  6. Gdy użytkownik zostanie poproszony o zmianę hasła, zostanie wyświetlony monit o podanie starego hasła i nowego hasła. W takim przypadku użytkownik wpisuje nowo zresetowane hasło (hasło2) jako stare hasło, a następnie wpisuje nowe hasło.
  7. Klient ponownie kontaktuje się z zdalnym kontrolerem domeny (ponieważ ten kontroler domeny znajduje się w tej samej lokacji co klient), aby zmienić hasło. Jednak zdalny kontroler domeny ma hasło używane przez użytkownika w czasie, gdy poprosił o zresetowanie hasła (password1) i nie rozpoznaje hasła password2 jako starego hasła.
  8. Ponieważ hasło password2 nie jest prawidłowym starym hasłem (zgodnie ze zdalnym kontrolerem domeny), operacja zmiany hasła kończy się niepowodzeniem. Jeśli jednak nowo zresetowane hasło (password2) zostanie zreplikowane do zdalnego kontrolera domeny, jeśli użytkownik wprowadzi hasło password2 po wyświetleniu monitu o wprowadzenie starego hasła, operacja zmiany hasła zakończy się pomyślnie.

Uwaga

Opóźnienie sieci można zmniejszyć, zmieniając hasło użytkownika na kontrolerze domeny w lokacji, do których loguje się użytkownik. Aby zmienić fokus przystawki Użytkownicy usługi Active Directory & Komputery na kontroler domeny w lokacji, kliknij prawym przyciskiem myszy górną część okienka po lewej stronie przystawki Użytkownicy usługi Active Directory & Komputery, a następnie kliknij przycisk Połącz z kontrolerem domeny. Teraz możesz zlokalizować kontroler domeny w lokacji, w którą znajduje się użytkownik, i zmienić hasło.