ユーザーがWindowsドメインで自分のパスワードを変更しようとしましたが、受け入れられません:
指定されたパスワードは、複雑さの最小要件を満たしていません
エンドユーザーはどのようにして要件を確認できますか? (明白な解決策はITに連絡することですが、それは不可能だとしましょう)
すべてのADユーザーは " pwdProperties "という名前の属性の値を確認できます。IDはおそらく "DOMAIN_PASSWORD_COMPLEX"(値 "1"、整数)に設定されています。
AdFind を使用して、パスワードに関連する多くの属性を取得できます。
AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties
ここにあなたが得るものの例があります:
AdFind V01.45.00cpp Joe Richards([email protected])2011年3月
使用サーバー:domain.example.org:389ディレクトリ:Windows Server 2008 R2ベースDN:DC = domain、DC = example、DC = org
dn:DC = domain、DC = example、DC = org
lockoutDuration:-18000000000
lockOutObservationWindow:-18000000000
lockoutThreshold:0
maxPwdAge:-344736000000000
minPwdAge:0
minPwdLength:7
pwdProperties:1
pwdHistoryLength:21返されたオブジェクト
このWindows組み込みコマンド(コマンドプロンプト:cmd.exeを使用)は answer のツールと同じ詳細を出力します:
net accounts
出力例:
C:\>net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 42
Minimum password length: 0
Length of password history maintained: None
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: WORKSTATION
The command completed successfully.
クレジット/ソース: http://windowsitpro.com/security/discovering-details-about-domains-password-policy
ADであるため、現在使用できる複雑さ(それ自体)のパターンは1つだけです。いわゆる3 of 4パターンです。 Spec Opsなどのサードパーティツールを使用して他のレベルの複雑さを適用しない限り、オンまたはオフになります。 Three of Fourは、4つの可能な文字セットのうち3つから少なくとも1つの文字をパスワードに含める必要があることを意味します。
!@#$%^&*(*))_+
etc)PowerShellで実行:
Get-ADDefaultDomainPasswordPolicy -Current LoggedOnUser
出力:
ComplexityEnabled : True
DistinguishedName : DC=ad,DC=company,DC=net
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 12
MaxPasswordAge : 180.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 8
objectClass : {domainDNS}
objectGuid : 641734ff-9d4c-40b4-a28a-b9628c021639
PasswordHistoryCount : 24
ReversibleEncryptionEnabled : False