先确认是否具备自助找回条件
用友NC默认不开启前端密码自助找回功能,该能力需由实施顾问或管理员在【系统管理】→【系统参数设置】中启用‘允许用户自助修改密码’并配置邮件/短信服务。若未启用,所有密码遗忘均需管理员介入处理;若已启用但无法使用,请优先排查邮件网关连通性或短信通道配额。
注意:NC V6.5及以上版本支持绑定手机号+图形验证码方式自助重置,但需在【用户管理】中为该用户维护有效手机号且状态为‘已验证’。未验证手机号将导致页面显示‘暂不可用’提示,而非报错。
管理员后台重置四步法(最短路径)
适用于所有版本NC(V6.0–V6.7),无需重启服务,5分钟内完成。
- 使用具有系统管理员角色的账号登录NC客户端或Web端
- 进入【系统管理】→【用户管理】→【用户列表】,搜索目标用户名
- 双击打开用户档案,在‘基本信息’页签中点击
重置密码按钮(非‘修改密码’) - 输入新密码(需符合当前密码策略:长度≥8位、含大小写字母+数字+特殊字符),保存后通知用户立即登录并强制修改
为什么必须点‘重置密码’而非‘修改密码’?
‘修改密码’仅对当前已登录用户生效,要求原密码校验;而‘重置密码’绕过原密码验证,直接写入加密后的密文至UF_SYSTEM_USER表的PASSWORD字段,是唯一合法的遗忘场景处置动作。
高频原因拆解:为什么重置后仍无法登录?
LDAP域控同步覆盖新密码
当NC配置了AD/LDAP集成认证,用户密码实际存储于域服务器。管理员在NC端重置仅修改本地缓存,下次域控同步(默认每30分钟)会将AD中旧密码覆盖回NC数据库,导致刚设的新密码失效。
验证方法:在NC用户档案中查看‘认证方式’字段是否为‘LDAP’;检查【系统管理】→【LDAP设置】中‘同步策略’是否启用‘密码同步’。
密码策略强制复杂度未满足
NC密码策略由UF_SYSTEM_PARAMETER表中的PWD_POLICY字段控制。若策略要求包含特殊字符(如!@#),但管理员重置时输入纯字母数字组合,系统虽保存成功,但登录校验阶段会拒绝该密码并返回‘用户名或密码错误’——此现象常被误判为重置失败。
排查路径:SELECT VALUE FROM UF_SYSTEM_PARAMETER WHERE CODE = 'PWD_POLICY',解析JSON值中的requireSpecialChar字段。
用户状态被意外禁用
重置操作本身不会变更用户状态,但部分企业将密码重置流程与权限回收流程绑定执行。需检查用户档案中‘状态’字段是否为‘启用’,以及‘有效期至’是否早于当前日期。若状态为‘禁用’或‘已过期’,即使密码正确亦无法登录。
重置后的必做三件事
- 强制首次登录改密:在【用户管理】→【用户列表】右键目标用户,勾选‘首次登录强制修改密码’,避免用户继续使用临时密码
- 核对角色继承关系:重置不改变角色分配,但需确认该用户所属角色未被批量停用(如‘财务部临时岗’角色近期被主管禁用)
- 检查单点登录(SSO)配置:若企业启用NC与其他系统(如OA、HR)的SSO,需同步在SSO中心重置对应账户,否则NC可登录但跳转其他系统失败
长期方案:从被动重置转向主动治理
频繁密码遗忘反映权限体系脆弱性。建议按业务场景评估替代路径:
- 财务核算为主、凭证/报表流程标准化需求强:可评估迁移至用友畅捷通好会计。其内置微信扫码登录、手机短信验证、多级审批密码重置流程,且支持按账套独立设置密码策略,降低集团统管风险
- 业财协同复杂、跨部门流程多(如销售合同→采购订单→入库→应付→付款):推荐优先考虑用友畅捷通好业财。提供基于业务单据的动态权限引擎,可按‘销售员仅能重置自己客户相关单据密码’实现最小权限管控,从源头减少密码依赖
当前NC环境下的加固建议
在不更换系统的前提下,立即执行:
① 在【系统管理】→【密码策略】中关闭‘记住密码’选项(防止浏览器明文存储);
② 每季度导出UF_SYSTEM_USER表中LAST_LOGIN_TIME为空或超90天的用户清单,批量清理休眠账号;
③ 为关键岗位(如总账会计、资金主管)配置双因子认证插件(需额外采购NC安全增强包)。