ユーザーがWindowsドメインでパスワードを変更しようとしましたが、受け入れられません。
指定されたパスワードは最小複雑度の要件を満たしていません
エンドユーザーはどのようにして要件がわかるのですか?(明らかな解決策はITに連絡することですが、それは不可能だとしましょう)
ユーザーがWindowsドメインでパスワードを変更しようとしましたが、受け入れられません。
指定されたパスワードは最小複雑度の要件を満たしていません
エンドユーザーはどのようにして要件がわかるのですか?(明らかな解決策はITに連絡することですが、それは不可能だとしましょう)
回答:
すべてのADユーザーは、「pwdProperties」という名前の属性の値を確認できます。IDはおそらく「DOMAIN_PASSWORD_COMPLEX」に設定されています(値「1」、整数)。
AdFindを使用して、パスワードに関連する多くの属性を取得できます。
AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties
取得するものの例を次に示します。
AdFind V01.45.00cpp Joe Richards(joe@joeware.net)2011年3月
サーバーを使用:domain.example.org:389ディレクトリ:Windows Server 2008 R2ベースDN:DC = domain、DC = example、DC = org
dn:DC = domain、DC = example、DC = org
lockoutDuration:-18000000000
lockOutObservationWindow:-18000000000
lockoutThreshold:0
maxPwdAge:-344736000000000
minPwdAge:0
minPwdLength:7
pwdProperties:1
pwdHistoryLength:21返されたオブジェクト
このWindows組み込みコマンド(コマンドプロンプト:cmd.exeを使用)は、回答のツールと同じ詳細を出力します。
net accounts
出力例:
C:\>net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 42
Minimum password length: 0
Length of password history maintained: None
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: WORKSTATION
The command completed successfully.
クレジット/ソース:http : //windowsitpro.com/security/discovering-details-about-domains-password-policy
net accounts
コマンドは問題なく上記のすべての情報を出力します。
/domain
:あなたは、このメッセージが表示さThe request will be processed at a domain controller for domain
これはADであるため、現在利用できる複雑度(それ自体)のパターンは1つだけです。いわゆる3/4パターンです。Spec Opsなどのサードパーティツールを使用して他の複雑さのレベルを強制しない限り、オンまたはオフになります。4つのうち3つは、パスワードに4つの文字セットのうち3つのうち少なくとも1つの文字を含める必要があることを意味します。
!@#$%^&*(*))_+
等)