Jak mogę znaleźć zasady dotyczące złożoności hasła?

Użytkownik próbuje zmienić swoje hasło w domenie Windows i nie jest to akceptowane:

Podane hasło nie spełnia minimalnych wymagań dotyczących złożoności

Jak użytkownik końcowy może dowiedzieć się, jakie są wymagania? (Oczywistym rozwiązaniem byłoby skontaktowanie się z działem IT, ale powiedzmy, że nie jest to możliwe)

Każdy użytkownik AD może zobaczyć wartość atrybutu o nazwie „ pwdProperties ”, twój identyfikator prawdopodobnie ustawiony jest na „DOMAIN_PASSWORD_COMPLEX” (wartość „1”, liczba całkowita).

AdFind może służyć do pobierania wielu atrybutów związanych z hasłami:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Oto przykład tego, co otrzymasz:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) marzec 2011

Korzystanie z serwera: domena.example.org:389 Katalog: Windows Server 2008 R2 Podstawowa nazwa wyróżniająca: DC = domena, DC = przykład, DC = org

dn: DC = domena, DC = przykład, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwd Właściwości: 1
pwdHistoryLength: 2

1 obiektów zwróconych

To wbudowane polecenie systemu Windows (użyj wiersza polecenia : cmd.exe) drukuje te same szczegóły, co narzędzie w odpowiedzi :

net accounts

Przykładowe dane wyjściowe:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Kredyty / źródło: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

Ponieważ jest to AD, obecnie dostępny jest tylko jeden wzorzec złożoności (per se): tak zwany wzorzec 3 z 4. Jest on włączony lub wyłączony, chyba że użyjesz narzędzia innej firmy, takiego jak Spec Ops, aby wymusić inny poziom złożoności. Trzy z czterech oznacza, że ​​twoje hasło musi zawierać co najmniej jeden znak z trzech z 4 możliwych zestawów znaków:

1. DUŻE LITERY
2. małe litery
3. Numeryczny (0–9)
4. Słowa przekleństwa z komiksu (znane również jako znaki specjalne: !@#$%^&*(*))_+itp.)

Nie sądzę, poza próbami brutalnej siły, że jest to programowo możliwe, chyba że jesteś już administratorem. Musisz zadzwonić do działu IT. (Wartości domyślne różnią się w zależności od tego, co skonfigurowali, chociaż jeśli wiesz, że myślę, że możesz sprawdzić wartości domyślne i spróbować. Oczywiście nie ma gwarancji, że ich nie zmienili).