Детальная политика паролей не вступает в силу — нужно ждать следующей смены пароля?

Я установил детальную политику паролей с максимальным сроком действия пароля 180 дней вместе с другими настройками, аналогичными существующим политикам паролей.

Я установил более низкий номер приоритета, и он применяется к группе безопасности. Результаты выполнения команды powershell по-прежнему показывают срок действия пароля, который соответствует правилам пароля политики домена по умолчанию.

PS C:\Windows\system32> Get-ADDomain | fl Имя, режим домена


Имя: контосо
Режим домена: домен Windows2008R2.

Моя политика FGPP:

Применяется к: {CN=Password_Policy,DC=contoso,DC=com}
Сложность включена: Истина
DistinguishedName : CN=Password_Policy,CN=Контейнер параметров паролей,CN=System,DC=contoso,DC=com
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
Порог блокировки: 3
MaxPasswordAge: 180.00:00:00
Минпарольвозраст : 1.00:00:00
MinPasswordLength : 8
Имя: Password_Policy
Класс объекта: msDS-PasswordSettings
ObjectGUID: 82be1382-9f85-447b-b618-ac1fd663f2e0
Количество историй паролей: 8
Приоритет : 1
Реверсиблеэнкриптионенаблед : False


Пользователь Get-ADUserResultantPasswordPolicy


Применяется к: {CN=Password_Policy,DC=contoso,DC=com}
Сложность включена: Истина
DistinguishedName : CN=Password_Policy,CN=Контейнер параметров паролей,CN=System,DC=contoso,DC=com
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
Порог блокировки: 3
MaxPasswordAge: 180.00:00:00
Минпарольвозраст : 1.00:00:00
MinPasswordLength : 8
Имя: Password_Policy
Класс объекта: msDS-PasswordSettings
ObjectGUID: 82be1382-9f85-447b-b618-ac1fd663f2e0
Количество историй паролей: 8
Приоритет : 1
Реверсиблеэнкриптионенаблед : False

До детальных политик паролей

PS C:\Windows\system32> Get-ADUser -identity USER âProperties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname", @{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Дата истечения срока действия отображаемого имени           
----------- ----------           
ПОЛЬЗОВАТЕЛЬ 31.05.2022 10:36:58

После детальных политик паролей

PS C:\Windows\system32> Get-ADUser -identity USER âProperties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname", @{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Дата истечения срока действия отображаемого имени           
----------- ----------           
ПОЛЬЗОВАТЕЛЬ 31.05.2022 10:36:58

FGPP «Применяется к» должна быть группой безопасности, которая содержит учетные записи пользователей. Отображаемые выходные данные относятся к самому FGPP PSO.

Get-ADUserResultantPasswordPolicy xxx


Применяется к: {CN=HQ Users,OU=Groups,OU=HQ,DC=contoso,DC=com}
Сложность включена: Истина
DistinguishedName : CN=HQ Users PSO,CN=Контейнер настроек паролей,CN=System,DC=contoso,DC=com
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
Порог блокировки: 3
Максимальный возраст пароля: 90.00:00:00
Минимальный возраст пароля: 00:00:00
MinPasswordLength : 14
Имя : HQ Пользователи PSO
Класс объекта: msDS-PasswordSettings
ObjectGUID: 3c565430-a372-42b9-92da-9098f7d56d7a
Количество историй паролей: 24
Приоритет : 1
Реверсиблеэнкриптионенаблед : False

Кроме того, вы можете подтвердить это в dsa.msc, проверив вычисляемый атрибут msds-ResultantPSO учетной записи пользователя.