パスワードの複雑さのポリシーを確認するにはどうすればよいですか?


31

ユーザーがWindowsドメインでパスワードを変更しようとしましたが、受け入れられません。

指定されたパスワードは最小複雑度の要件を満たしていません

エンドユーザーはどのようにして要件がわかるのですか?(明らかな解決策はITに連絡することですが、それは不可能だとしましょう)


ADが設置されている場合、だれがそれを管理し、なぜ連絡できないのですか?
デイブM

2
@Dave:それは理論的な質問:)私はそれを行うことができるかどうかだけで好奇心が強いです
SIIM K

8
システム管理者が休暇中にこの正確な問題でエンドユーザーを支援しようとしていたので、必ずしもそれほど理論的ではありません...それは、Windowsがパスワード変更プロセス中に複雑さの要件をユーザーに通知しないという非常に大きな設計上の欠陥です。
ブライアン

回答:


14

すべてのADユーザーは、「pwdProperties」という名前の属性の値を確認できます。IDはおそらく「DOMAIN_PASSWORD_COMPLEX」に設定されています(値「1」、整数)。

AdFindを使用して、パスワードに関連する多くの属性を取得できます。

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

取得するものの例を次に示します。

AdFind V01.45.00cpp Joe Richards(joe@joeware.net)2011年3月

サーバーを使用:domain.example.org:389ディレクトリ:Windows Server 2008 R2ベースDN:DC = domain、DC = example、DC = org

dn:DC = domain、DC = example、DC = org

lockoutDuration:-18000000000
lockOutObservationWindow:-18000000000
lockoutThreshold:0
maxPwdAge:-344736000000000
minPwdAge:0
minPwdLength:7
pwdProperties:1
pwdHistoryLength:2

1返されたオブジェクト



3
複雑さの要件に関する情報は、こちらにあります:technet.microsoft.com/en-us/library/cc786468
v

2
ドメインがカスタムパスワードフィルタを使用している場合、これが非常に役立つかどうかはわかりません。 msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache

サードパーティ製ツールを使用しないソリューションについては、以下を参照してください!
Qw3ry

42

このWindows組み込みコマンド(コマンドプロンプト:cmd.exeを使用)は、回答のツールと同じ詳細を出力します

net accounts

出力例:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

クレジット/ソース:http : //windowsitpro.com/security/discovering-details-about-domains-password-policy



7
AD制御環境では「/ domain」が必要であることを追加する必要があります。「net accounts / domain」
-HackSlash

@HackSlashどういう意味ですか?私のワークステーションはドメインのメンバーであり、プレーンnet accountsコマンドは問題なく上記のすべての情報を出力します。
デビッドバラジック

あなたが使用する場合/domain:あなたは、このメッセージが表示さThe request will be processed at a domain controller for domain
HackSlash

4

これはADであるため、現在利用できる複雑度(それ自体)のパターンは1つだけです。いわゆる3/4パターンです。Spec Opsなどのサードパーティツールを使用して他の複雑さのレベルを強制しない限り、オンまたはオフになります。4つのうち3つは、パスワードに4つの文字セットのうち3つのうち少なくとも1つの文字を含める必要があることを意味します。

  1. 大文字
  2. 小文字
  3. 数値(0-9)
  4. コミック本の呪いの言葉(特殊文字:!@#$%^&*(*))_+等)

1
どのバージョンのWindowsについて話しているのですか?ADが提供するデフォルトのパスワードポリシーには、6つの構成可能なパラメーターがあります。
HackSlash

スペースも特殊文字と見なされます。
ブリアナリー

-4

ブルートフォースの試みを除いて、あなたが既に管理者でない限り、プログラムでこれを行う方法はないと信じています。だから、あなたはそれを呼び出す必要があります。(デフォルトは、設定した内容によって異なりますが、デフォルトを調べて試してみることができると思いますが、もちろん変更していないという保証はありません。)

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.