Parola karmaşıklığı politikasını nasıl öğrenebilirim?


31

Bir kullanıcı şifresini bir Windows etki alanında değiştirmeye çalışır ve kabul edilmez:

Sağlanan şifre minimum karmaşıklık gereksinimlerini karşılamıyor

Bir son kullanıcı gereksinimlerin ne olduğunu nasıl öğrenebilir? (Açık çözüm BT ile iletişim kurmak olacaktır ancak bunun mümkün olmadığını söyleyelim)


Bir AD varsa, kim yönetiyor ve neden onlarla bağlantı kurulamıyor?
Dave M

2
@Dave: Bu teorik bir soru :) Ben sadece yapılabilir eğer merak ediyorum
Siim K

8
Her zaman bu kadar teorik değil, sysadmin tatildeyken son kullanıcıya bu kesin problemle yardım etmeye çalışıyordu ... Windows'un kullanıcıya şifre değiştirme sürecinde ne kadar karmaşıklık gereklilikleri olduğunu söylememesi oldukça büyük bir tasarım hatası. .
Brian Knoblauch

Yanıtlar:


14

Her AD kullanıcısı " pwdProperties " adlı özniteliğin değerini görebilir, kimliğiniz muhtemelen "DOMAIN_PASSWORD_COMPLEX" (değer "1", tam sayı) olarak ayarlanmış.

AdFind , şifrelere göre birçok özellik almak için kullanılabilir:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

İşte alacağınız bir örnek:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) Mart 2011

Sunucuyu kullanma: domain.example.org:389 Dizin: Windows Server 2008 R2 Temel DN: DC = etki alanı, DC = örnek, DC = org

DN: DC = domain, DC = örneğin, DC = org

kilitlenme Süresi: -18000000000
kilitDışKısaPencerePencere: -18000000000 kilitleme
eşiği: 0 maxPwdAge: -344736000000000 minPwdAge: 0
minPwdAge: 744w36000000000
minPwdAge: 0
minPwdLength: 7
pwdProperties: 1
pwdHistoryLength: 2

1 Nesne geri döndü



3
Karmaşıklık gereksinimleri hakkında bilgi burada bulunabilir: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon

2
Etki alanı özel bir şifre filtresi kullanıyorsa bunun çok faydalı olacağından emin değilsiniz. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache

3. parti araçları olmayan bir çözüm için aşağıya bakın !
Qw3ry

42

Bu Windows yerleşik komutu ( Komut İstemi : cmd.exe'yi kullanın) cevaptaki araçla aynı ayrıntıları yazdırır :

net accounts

Örnek çıktı:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Krediler / kaynak: http://windowsitpro.com/security/discovering-details-about-domains-password-policy



7
AD kontrollü bir ortamda "/ domain"
ifadesinin

@HackSlash Ne demek istiyorsun? İş istasyonum bir etki alanının üyesidir ve düz net accountskomut yukarıdaki bilgilerin tümünü sorunsuz bir şekilde basar.
David Balažic

Siz kullandığınızda /domainbu mesajı görürsünüz:The request will be processed at a domain controller for domain
HackSlash

4

AD olduğu için, şu anda sadece tek bir karmaşıklık (kendi başına) kalıp mevcuttur: sözde 3'lük kalıp. Başka bir karmaşıklık düzeyi uygulamak için Spec Ops gibi bir üçüncü taraf aracı kullanmazsanız, açık veya kapalıdır. Dörtte Üç, şifrenizin, olası 4 karakter kümesinden üçünden en az bir karakter içermesi gerektiğini belirtir:

  1. Üst Durum
  2. küçük harf
  3. Sayısal (0-9)
  4. Çizgi roman laneti sözleri (özel karakterler: !@#$%^&*(*))_+vb.)

1
Hangi pencereden bahsediyorsun? AD tarafından sağlanan varsayılan Parola İlkesinde altı yapılandırılabilir parametre vardır.
HackSlash

Boşluk ayrıca özel bir karakter olarak kabul edilir.
brianary

-4

Kaba kuvvet denemelerinin dışında, zaten bir yönetici olmadığınız sürece, bunu programlı olarak yapmanın bir yolu olduğuna inanmıyorum. Bu yüzden, BT'yi aramanız gerekecek. (Varsayılanlar, ayarladıklarına bağlı olarak değişir, ancak varsayılanları arayabilir ve deneyebileceğinizi tahmin edersiniz. Tabii ki, bunların değiştirilmediğine dair hiçbir garanti yok.)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.