【疑问-转分享贴】客户端修改ad域账户的密码，老是提示不符合策略，改怎么解决？

问题现象：

客户端修改ad域账户的密码，老是提示不符合策略，改怎么解决？

环境：

550R1版本，域控为server 2012 R2

已做排查：

1、vdc连域控是用的administrator，已经是管理员账号，到域控连通性无误

2、域控上本地组策略 和域的组策略 都是禁用了复杂度的，cmd里gpupdate /force刷新并且重启了域服务器

3、实际上我的密码已经是很复杂了，大小些，特殊字符@#都有也不行

4、尝试在域控上重置账户的密码能够成功，并且设置要求下次登录后需修改密码，第一次vdi登录后，我确实在vdi客户端能改密码成功，然后再手动修改密码又会失败

最终结论：

本地组策略-密码最短使用期限，从1修改设置为0。就能从vdi客户端修改域账号的密码了！！！

ps:

最短一天时间，就是不能连续修改密码，要至少使用一天后再修改

哪位能指导一下，万分感谢，我没招了

你这个还是排查是不是没有同步的原因。

把vdc策略那块修改一下

11111111111111111111

感觉是没有同步密码导致的问题

你这个还是排查是不是没有同步的原因。

在VDC上【VDI设置】/【桌面云设置】-【认证设置】-【LDAP认证】启用允许用户在客户端修改LDAP账号密码，启用之后在客户端【个人设置】-【账号信息】即可进行修改密码

根据您描述的问题，尽管您已经采取了一些措施来排查问题，但客户端在修改AD域账户密码时仍然提示不符合策略。这里有几个可能的原因和解决方法：

1. **组策略应用延迟**：
   - 即使您已经在域控制器上禁用了密码复杂性要求，并且执行了`gpupdate /force`命令，有时组策略的更改可能不会立即生效。确保所有相关的客户端也执行了`gpupdate /force`并且进行了重启。

2. **细粒度密码策略（Fine-Grained Password Policies）**：
   - 如果您的环境中配置了细粒度密码策略，这些策略可能会覆盖默认的域级别密码策略。检查是否对特定用户或组织单位（OU）应用了不同的密码策略。

3. **密码历史记录**：
   - 确认新设置的密码不是最近使用过的密码之一。AD默认不允许使用前24个密码中的任何一个作为新的密码，除非您改变了这个设置。

4. **最小密码长度**：
   - 确认新密码满足最小密码长度的要求。即使您认为密码足够复杂，它也必须至少包含一定数量的字符，这通常是由组策略设定的。

5. **密码过期时间**：
   - 检查用户的账户是否设置了密码永不过期。如果是这种情况，那么用户将无法更改密码，除非管理员强制更改。

6. **账户锁定或其它限制**：
   - 确认账户没有被锁定或者有其他安全限制阻止密码更改。

7. **事件查看器日志**：
   - 查看域控制器的安全事件日志，特别是与密码更改尝试相关的事件ID 4724（由另一个账户重置用户的密码）和4723（尝试更改用户的密码）。这些日志条目可以提供有关失败原因的更多信息。

8. **测试环境验证**：
   - 尝试在一个隔离的测试环境中重现问题，以排除网络或配置上的潜在干扰因素。

9. **联系微软支持**：
   - 如果上述步骤都无法解决问题，您可以考虑联系微软官方支持获取进一步的帮助。他们可以提供更深入的技术支持，包括直接访问您的环境进行诊断。

请按照以上建议逐步检查，如果问题依旧存在，请提供更多的错误信息或者日志内容，以便更准确地诊断问题。

你这个还是排查是不是没有同步的原因。