Как в AD разрешить пользователям менять пароль когда угодно?

Question

[bangdhan]

При включении смены пароля от имени пользователя система выдаёт ошибку в процессе смены: Не удаётся изменить пароль. Введенный пароль не обеспечивает требований к ..... Так при любом пароле. При этом у пользователя нет галки "запретить пользователям менять пароли" Но когда приходит время смены пароля или когда вручную выставляешь сменить при следующем входе то всё нормально меняется.
Можно предоставить возможность пользователю в любой момент менять свои пароли? Где, что в AD исправить?

Answer 1

[Andy]

Через политики это делается

Answer 2

[Alexey Dmitriev]

По умолчанию парольные политики в AD находятся в GPO "Domain Default Policy".

Answer 3

[Tie Lay]

так же можно через "делегирование Управления...":
- от имени доменного администратора запускаем апплет "Active Directory - пользователи и компьютеры", либо его же но на контроллере домена
- правый клик на FQDN имени домена, выбираем первый же пункт ниспадающего меню - "делегирование Управления..."
- в запустившемся мастере нажимаеи "Далее
- под окном "Выбранные пользователи и группы" нажимаем "Добавить..."
- в появившемся окне Выбора объектов AD в поле поиска вписываем SELF - большими буквами и на английском и нажимаем "ОК"
- в окне "Выбранные пользователи и группы" должна появиться запись "SELF (NT AUTHORITY\SELF)" отмеченное значком встроенных групп, выглядит как значёк пользователя со стрелкой вверх в правом верхнем углу
- нажимаем "Далее"
- в окне "Делегировать следующие обычные задачи:" ставим галочку в "Переустановить пароли пользователей и установить изменение пароля при следующей перезагрузке"
- нажимаем "Далее"
- подумав над возможными негативными последствиями, и взвесив все за и против, нажимаем кнопку "Готово"
После чего запустится процесс глобального изменения разрешений.
Так же можно через редактор ADSI изменить шаблон разрешений по умолчанию для создаваемых объектов типа "Пользователь домена"