Учетная запись, смена пароля, огранияения .....

[Андрей Добров]

Имеется учетная запись.
Имеется требование о смене пароля.
И имеется странность после смены пароля, а именно у учетной записи удаляется все ограничения\настройки по настройке смены пароля.
Т.е.
- имеется смена пароля - 15.12.2025
- количество попыток с просроченным паролем - 2
- минимальное количество знаков в пароля 8
- период смены пароля - 90 суток.

Сотрудник меняет пароль и все выше означенные требования исчезают. Т.е. ему более и не требуется смена пароля каждый квартал - от слов совсем не требуется .
Пробовал несколько раз с разными клиентами на Винде. Был крайне удивлен.
Не могу понять в каком направлении копнуть?

eDirectory - проверил. Ошибок нет.

[Иван Левшин aka Ivan L.]

Политики Unversal Password как настроены? Как вообще эти требования настроены и работают? Если есть SSPR - попробуйте поменять пароль через него, проблема воспроизводится или нет? Проблема существует для любого пользователя или только для определенного/группы пользователей?
Ошибки eDirectory тут не при чем, ndsrepair проверяет связность и целостность базы, а не то, как там настроены объекты. Описанное похоже на поведение парольной политики больше, чем на какие-то особенности клиента, например. Я бы копал в эту сторону.

[Андрей Добров]

Политики Unversal Password как настроены? Как вообще эти требования настроены и работают? Если есть SSPR - попробуйте поменять пароль через него, проблема воспроизводится или нет? Проблема существует для любого пользователя или только для определенного/группы пользователей?
Ошибки eDirectory тут не при чем, ndsrepair проверяет связность и целостность базы, а не то, как там настроены объекты. Описанное похоже на поведение парольной политики больше, чем на какие-то особенности клиента, например. Я бы копал в эту сторону.

Universal Password - не используется.
Настройка через iManager
Проблему знаю как минимум у двух пользователей на сейчас. Пользователи находятся в разных OU, но могут быть в одних группах.
Экспериментировал с разыми клиентами на разных ПК.

[skoltogyan]

"Сотрудник меняет пароль и все выше означенные требования исчезают."
1) как именно он проводит смену пароля ? ( в какой ос находится в этот момент и как именно делает смену пароля, есть возможность подробнее рассказать ?
2) если вы со своего админского компа логинитесь как тот чел и мменяете пароль себе(ну типа онг сам себе меняет), то то-же происходит сброс настроек политик безопасности ?

[Андрей Добров]

"Сотрудник меняет пароль и все выше означенные требования исчезают."
1) как именно он проводит смену пароля ? ( в какой ос находится в этот момент и как именно делает смену пароля, есть возможность подробнее рассказать ?
2) если вы со своего админского компа логинитесь как тот чел и мменяете пароль себе(ну типа онг сам себе меняет), то то-же происходит сброс настроек политик безопасности ?

1. При регистрации на ПК появляется предложение сменить.
Можно отказаться или сменить.
Соглашается.
Вводит 2 раза новый пароль. Появляется сообщение что пароль успешно изменен.
Вот и всё. В свойствах User - исчезает всё что касается политики смены пароля .
2. Пробовалось на
- Win7sp1.Pro клиент 2.4.12
- Win10.Pro(x32) 2.5.2
- Win10.Corp.LTSC(x64) 2.6.2
3. Если менять пароль вручную через административную часть клиента на ПК - ситуация повторяется. Пароль поменять можно, но все счетчики сбрасываются.

Есть совсем непонятная другая ситуация с паролем.
Исследуемая учетная запись создана когда ещё был NW 4.11.
Ранее, очень давно, у всех пароль был 7 знаков.
Сейчас 8.
После смены снова пользователя появляется 7.
Сбросить дату о дате следующей смены я могу понять. А вот чтоб заменить?!

[skoltogyan]

в eDir атрибуты пользователя у которого проявлятся проблема и у которого не проявдяется если сравнить ?
(сравнить на предмет - одинаковое-ли количество тех атрибутов)
+
такой еще вариант:
для дольовтаеля, у которого трабла из ConcoleOne или iManager смилком установите пароль и после этого пусть он зайдет под ним и самостоятельно(не ожидая expiration ) сменит на новый ( внимательно что-бы политик паролей внутри ws, eDir и AD(если она есть)) были одинаковыми
?

[Иван Левшин aka Ivan L.]

Сергей ранее спрашивал о том, как выглядит проблема, если потенциально проблемному пользователю поменять пароль на другой машине, со свежим клиентом? Пробовали? Какие результаты получили?
Какие вообще политики паролей используете? Все описываемое запросто и влегкую укладывается в логику работы политики паролей. Соберите данные обо всех политиках в дереве, проанализируйте, какая из них что делает.
Смотреть в атрибуты пользователя/его OU или группы или проверять дерево я бы стал в последнюю очередь.
Остается еще вероятность глюка конкретного клиента на конкретной машине - по этому поводу я бы рекомендовал обратить внимание на вопрос Сергея, который я также воспроизвел в этом сообщении.

[Андрей Добров]

Сергей ранее спрашивал о том, как выглядит проблема, если потенциально проблемному пользователю поменять пароль на другой машине, со свежим клиентом? Пробовали? Какие результаты получили?
Какие вообще политики паролей используете? Все описываемое запросто и влегкую укладывается в логику работы политики паролей. Соберите данные обо всех политиках в дереве, проанализируйте, какая из них что делает.
Смотреть в атрибуты пользователя/его OU или группы или проверять дерево я бы стал в последнюю очередь.
Остается еще вероятность глюка конкретного клиента на конкретной машине - по этому поводу я бы рекомендовал обратить внимание на вопрос Сергея, который я также воспроизвел в этом сообщении.

Поступил простым способом.
Создал нового пользователя из пользователя со странностями. Благо такая опция есть в Imanager
Вновь созданный получил все права. Предполагаю должен был получить. Ни чего дополнительно не правил, кроме прав на старый личный каталог.
Смена пароля происходит без проблем.

Будет не много поспокойней к концу месяца попробую ещё раз разобраться со старой учетной записью. Уже из спортивного интереса или на будущее.

[Иван Левшин aka Ivan L.]

Очень похоже на то, что у пользователя просто не хватает атрибутов из схемы.