Jak mogę znaleźć zasady dotyczące złożoności hasła?


31

Użytkownik próbuje zmienić swoje hasło w domenie Windows i nie jest to akceptowane:

Podane hasło nie spełnia minimalnych wymagań dotyczących złożoności

Jak użytkownik końcowy może dowiedzieć się, jakie są wymagania? (Oczywistym rozwiązaniem byłoby skontaktowanie się z działem IT, ale powiedzmy, że nie jest to możliwe)


Jeśli istnieje AD, kto nim zarządza i dlaczego nie można się z nim skontaktować?
Dave M,

2
@Dave: to pytanie teoretyczne :) Jestem ciekawy, czy da się to zrobić
Siim K

8
Nie zawsze tak teoretycznie, starając się pomóc użytkownikowi końcowemu dokładnie w tym problemie, gdy sysadmin był na wakacjach ... To dość duża wada projektowa, że ​​Windows nie mówi użytkownikowi, jakie są wymagania dotyczące złożoności podczas procesu zmiany hasła .
Brian Knoblauch,

Odpowiedzi:


14

Każdy użytkownik AD może zobaczyć wartość atrybutu o nazwie „ pwdProperties ”, twój identyfikator prawdopodobnie ustawiony jest na „DOMAIN_PASSWORD_COMPLEX” (wartość „1”, liczba całkowita).

AdFind może służyć do pobierania wielu atrybutów związanych z hasłami:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Oto przykład tego, co otrzymasz:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) marzec 2011

Korzystanie z serwera: domena.example.org:389 Katalog: Windows Server 2008 R2 Podstawowa nazwa wyróżniająca: DC = domena, DC = przykład, DC = org

dn: DC = domena, DC = przykład, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwd Właściwości: 1
pwdHistoryLength: 2

1 obiektów zwróconych



3
Informacje na temat wymagań dotyczących złożoności można znaleźć tutaj: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon

2
Nie jestem pewien, czy byłoby to bardzo przydatne, jeśli domena używa niestandardowego filtra haseł. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache

Aby znaleźć rozwiązanie bez narzędzi innych firm, patrz poniżej !
Qw3ry

42

To wbudowane polecenie systemu Windows (użyj wiersza polecenia : cmd.exe) drukuje te same szczegóły, co narzędzie w odpowiedzi :

net accounts

Przykładowe dane wyjściowe:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Kredyty / źródło: http://windowsitpro.com/security/discovering-details-about-domains-password-policy



7
Należy dodać, że „/ domena” jest wymagana w środowisku kontrolowanym przez AD: „konta netto / domena”
HackSlash

@HackSlash Co masz na myśli? Moja stacja robocza jest członkiem domeny, a zwykłe net accountspolecenie drukuje wszystkie powyższe informacje bez problemów.
David Balažic

Podczas korzystania z /domainzobaczysz następujący komunikat:The request will be processed at a domain controller for domain
HackSlash

4

Ponieważ jest to AD, obecnie dostępny jest tylko jeden wzorzec złożoności (per se): tak zwany wzorzec 3 z 4. Jest on włączony lub wyłączony, chyba że użyjesz narzędzia innej firmy, takiego jak Spec Ops, aby wymusić inny poziom złożoności. Trzy z czterech oznacza, że ​​twoje hasło musi zawierać co najmniej jeden znak z trzech z 4 możliwych zestawów znaków:

  1. DUŻE LITERY
  2. małe litery
  3. Numeryczny (0–9)
  4. Słowa przekleństwa z komiksu (znane również jako znaki specjalne: !@#$%^&*(*))_+itp.)

1
O jakiej wersji systemu Windows mówisz? Istnieje sześć konfigurowalnych parametrów w domyślnej Polityce haseł dostarczonej przez AD.
HackSlash

Przestrzeń jest również uważana za znak specjalny.
Brianary

-4

Nie sądzę, poza próbami brutalnej siły, że jest to programowo możliwe, chyba że jesteś już administratorem. Musisz zadzwonić do działu IT. (Wartości domyślne różnią się w zależności od tego, co skonfigurowali, chociaż jeśli wiesz, że myślę, że możesz sprawdzić wartości domyślne i spróbować. Oczywiście nie ma gwarancji, że ich nie zmienili).

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.