Windows 2008ドメインでパスワードを変更できないユーザーがいました。彼は、選択したパスワードがそれらを満たしていると確信していても、複雑さの要件に関する不可解なメッセージを彼に与えていました。自分でテストして確認しました。
私が思い出すと、彼の最後のパスワードは、マイクロソフトが推奨するデフォルトの10日間のように、最近設定されたようです。
彼は私に非常に良い質問をしましたが、答えられませんでした。なぜパスワードの最低年齢が設定されるのでしょうか?これはどのようにセキュリティに合理的に利益をもたらすでしょうか?彼はまた、この10日間でパスワードが危険にさらされる可能性があり、それを変更できない可能性があることを指摘しました。
パスワードの最低年齢を強制する正当な理由はありますか?
回答:
まず、技術的な答え:
パスワード履歴を強制的に有効にする場合は、パスワードの最小有効期間を0より大きく設定します。パスワードの最低年齢がなければ、ユーザーは古いお気に入りに到達するまでパスワードを繰り返し循環できます。
http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx(Server 2003)http://technet.microsoft.com/en-us/library/hh994570 ( v= ws.10).aspx(Server 2008 / Windows Vista以降)
したがって、それが0でないことの正当な理由です。さらに、それらの記事によると:
デフォルト
ドメインコントローラーでは1。
スタンドアロンサーバーでは0。
つまり、言い換えれば、デフォルトはパスワード履歴を強制できる最小値です。
今、個人的には、パスワードの最低年齢を強制する有効なセキュリティ上の理由はないと思いますが、実用的/人間的な理由があるかもしれません。たとえば、パスワードを変更する回数を制限して、「パスワードを忘れた」呼び出しの回数を減らすことができます。おそらくこれは高校生にとって実用的だと思いました。
最後に、これらの制限は、Active Directoryユーザーとコンピューターを使用した手動のパスワードリセットには適用されないことに注意してください。そのため、ユーザーは本当にパスワードを変更する必要がある場合は、システム管理者にいつでも助けを求めることができます。