尝试更改用户密码时出现“The Password Cannot Be Changed at This Time”（此时无法更改密码）错误信息

症状

当您尝试更改用户密码时，可能会收到以下错误信息：

The password cannot be changed at this time.

当用户登录到客户端或服务器控制台时，可能会出现此错误。

当您使用“Active Directory 用户和计算机”管理单元重置帐户密码时，可能会收到以下错误信息：

Windows can not complete the password change for user name because:
The password does not meet the password policy requirements.Check the minimum password length, password complexity, and password history requirements.

原因

如果用户组织单位的 组策略对象将“密码最短存留期”设置配置为“未定义”，则可能会出现此问题。 默认域组策略对象是用户的默认配置容器。

解决方案

要解决此问题，请将“密码最短存留期”策略设置配置为“0 天”。为此，请定义并配置该策略设置。该策略设置应该在用户的“默认域组策略”对象中配置。

要配置该策略设置，请按照下列步骤操作：

1. 打开“Active Directory 用户和计算机”管理控制台。
2. 右键单击域的名称，然后单击属性。
   
   注意：如果用户被配置到特定的组织单位中，请选择用户所在的组织单位。
3. 单击组策略选项卡，单击默认域策略，然后单击编辑。将打开组策略编辑器。
4. 展开计算机配置，依次单击 Windows 设置、帐户策略和密码策略。
5. 右键单击密码最短存留期，然后单击安全性。
6. 单击以选中“定义这个策略设置”复选框，然后将计数器设置为“0 天”。
   
   注意：“0 天”是“默认域策略”中的默认策略设置。
7. 设置密码最短存留期后，将会出现建议的数值改动对话框。它指出密码最长存留期设置将更改为 30 天。
   
   如果不更改该值，当所有密码存留期为 30 天或更长的用户登录时，都会收到一条错误信息，指出他们的密码已过期，必须更改密码。要设置一个更大的值，请在应用密码最短存留期设置后，单击密码最短存留期策略上面的密码最长存留期策略，然后根据您的喜好，增加或减小该设置。
   
   注意：不能将密码最长存留期设置为 0。如果这样做的话，将会禁用“密码最短存留期”策略。
8. 单击确定关闭“安全策略”设置。
9. 关闭组策略编辑器和“Active Directory 用户和计算机”管理控制台。

要更新策略设置，请在域控制器上打开命令提示符，然后运行以下命令：

secedit /refreshpolicy machine_policy /enforce

可能必须重新启动域控制器，此策略才会得到更新。

更多信息

在不需要“密码最短存留期”设置时，管理员可能会错误地将此策略设置配置为“未定义”。如果“默认域策略”中未定义此策略设置，将无法更改密码。

 

适用范围

 

本文适用于在Win2003/Win2000 下安装AD后，系统自设置了密码策略，造成不可以新增用户或修改用户密码。

-----------------------------------------------------

KangSoft@Hotmail.com QQ:435578