パスワードの複雑さのポリシーを確認するにはどうすればよいですか？

ユーザーがWindowsドメインでパスワードを変更しようとしましたが、受け入れられません。

指定されたパスワードは最小複雑度の要件を満たしていません

エンドユーザーはどのようにして要件がわかるのですか？（明らかな解決策はITに連絡することですが、それは不可能だとしましょう）

すべてのADユーザーは、「pwdProperties」という名前の属性の値を確認できます。IDはおそらく「DOMAIN_PASSWORD_COMPLEX」に設定されています（値「1」、整数）。

AdFindを使用して、パスワードに関連する多くの属性を取得できます。

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

取得するものの例を次に示します。

AdFind V01.45.00cpp Joe Richards（joe@joeware.net）2011年3月

サーバーを使用：domain.example.org:389ディレクトリ：Windows Server 2008 R2ベースDN：DC = domain、DC = example、DC = org

dn：DC = domain、DC = example、DC = org

lockoutDuration：-18000000000
lockOutObservationWindow：-18000000000
lockoutThreshold：0
maxPwdAge：-344736000000000
minPwdAge：0
minPwdLength：7
pwdProperties：1
pwdHistoryLength：2

1返されたオブジェクト

このWindows組み込みコマンド（コマンドプロンプト：cmd.exeを使用）は、回答のツールと同じ詳細を出力します。

net accounts

出力例：

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

クレジット/ソース：http : //windowsitpro.com/security/discovering-details-about-domains-password-policy

これはADであるため、現在利用できる複雑度（それ自体）のパターンは1つだけです。いわゆる3/4パターンです。Spec Opsなどのサードパーティツールを使用して他の複雑さのレベルを強制しない限り、オンまたはオフになります。4つのうち3つは、パスワードに4つの文字セットのうち3つのうち少なくとも1つの文字を含める必要があることを意味します。

1. 大文字
2. 小文字
3. 数値（0-9）
4. コミック本の呪いの言葉（特殊文字：!@#$%^&*(*))_+等）

ブルートフォースの試みを除いて、あなたが既に管理者でない限り、プログラムでこれを行う方法はないと信じています。だから、あなたはそれを呼び出す必要があります。（デフォルトは、設定した内容によって異なりますが、デフォルトを調べて試してみることができると思いますが、もちろん変更していないという保証はありません。）