web-dev-qa-db-ja.com

パスワードの複雑性ポリシーを確認するにはどうすればよいですか?

ユーザーがWindowsドメインで自分のパスワードを変更しようとしましたが、受け入れられません:

指定されたパスワードは、複雑さの最小要件を満たしていません

エンドユーザーはどのようにして要件を確認できますか? (明白な解決策はITに連絡することですが、それは不可能だとしましょう)

windowspasswords
34
Siim K

すべてのADユーザーは " pwdProperties "という名前の属性の値を確認できます。IDはおそらく "DOMAIN_PASSWORD_COMPLEX"(値 "1"、整数)に設定されています。

AdFind を使用して、パスワードに関連する多くの属性を取得できます。

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

ここにあなたが得るものの例があります:

AdFind V01.45.00cpp Joe Richards([email protected])2011年3月

使用サーバー:domain.example.org:389ディレクトリ:Windows Server 2008 R2ベースDN:DC = domain、DC = example、DC = org

dn:DC = domain、DC = example、DC = org

lockoutDuration:-18000000000
lockOutObservationWindow:-18000000000
lockoutThreshold:0
maxPwdAge:-344736000000000
minPwdAge:0
minPwdLength:7
pwdProperties:1
pwdHistoryLength:2

1返されたオブジェクト

15
Shadok

このWindows組み込みコマンド(コマンドプロンプト:cmd.exeを使用)は answer のツールと同じ詳細を出力します:

net accounts

出力例:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

クレジット/ソース: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

47
David Balažic

ADであるため、現在使用できる複雑さ(それ自体)のパターンは1つだけです。いわゆる3 of 4パターンです。 Spec Opsなどのサードパーティツールを使用して他のレベルの複雑さを適用しない限り、オンまたはオフになります。 Three of Fourは、4つの可能な文字セットのうち3つから少なくとも1つの文字をパスワードに含める必要があることを意味します。

  1. 大文字
  2. 小文字
  3. 数値(0-9)
  4. コミックの呪いの言葉(別名特殊文字:!@#$%^&*(*))_+ etc)
4
geoffc

PowerShellで実行:

Get-ADDefaultDomainPasswordPolicy -Current LoggedOnUser

出力:

ComplexityEnabled           : True
DistinguishedName           : DC=ad,DC=company,DC=net
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 12
MaxPasswordAge              : 180.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 8
objectClass                 : {domainDNS}
objectGuid                  : 641734ff-9d4c-40b4-a28a-b9628c021639
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False
0
Feriman