Jak mogę znaleźć zasady dotyczące złożoności hasła?

31

Użytkownik próbuje zmienić swoje hasło w domenie Windows i nie jest to akceptowane:

Podane hasło nie spełnia minimalnych wymagań dotyczących złożoności

Jak użytkownik końcowy może dowiedzieć się, jakie są wymagania? (Oczywistym rozwiązaniem byłoby skontaktowanie się z działem IT, ale powiedzmy, że nie jest to możliwe)

windows passwords active-directory policy Siim K.
źródło
Jeśli istnieje AD, kto nim zarządza i dlaczego nie można się z nim skontaktować?
Dave M,
2
@Dave: to pytanie teoretyczne :) Jestem ciekawy, czy da się to zrobić
Siim K
8
Nie zawsze tak teoretycznie, starając się pomóc użytkownikowi końcowemu dokładnie w tym problemie, gdy sysadmin był na wakacjach ... To dość duża wada projektowa, że ​​Windows nie mówi użytkownikowi, jakie są wymagania dotyczące złożoności podczas procesu zmiany hasła .
Brian Knoblauch,

Odpowiedzi:

14

Każdy użytkownik AD może zobaczyć wartość atrybutu o nazwie „ pwdProperties ”, twój identyfikator prawdopodobnie ustawiony jest na „DOMAIN_PASSWORD_COMPLEX” (wartość „1”, liczba całkowita).

AdFind może służyć do pobierania wielu atrybutów związanych z hasłami:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Oto przykład tego, co otrzymasz:

AdFind V01.45.00cpp Joe Richards ([email protected]) marzec 2011

Korzystanie z serwera: domena.example.org:389 Katalog: Windows Server 2008 R2 Podstawowa nazwa wyróżniająca: DC = domena, DC = przykład, DC = org

dn: DC = domena, DC = przykład, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwd Właściwości: 1
pwdHistoryLength: 2

1 obiektów zwróconych

Shadok
źródło
3
Informacje na temat wymagań dotyczących złożoności można znaleźć tutaj: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon
2
Nie jestem pewien, czy byłoby to bardzo przydatne, jeśli domena używa niestandardowego filtra haseł. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache
Aby znaleźć rozwiązanie bez narzędzi innych firm, patrz poniżej !
Qw3ry
42

To wbudowane polecenie systemu Windows (użyj wiersza polecenia : cmd.exe) drukuje te same szczegóły, co narzędzie w odpowiedzi :

net accounts

Przykładowe dane wyjściowe:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Kredyty / źródło: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

David Balažic
źródło
Jesteś prawdziwym MVP. technet.microsoft.com/en-us/library/bb490698.aspx
HackSlash
7
Należy dodać, że „/ domena” jest wymagana w środowisku kontrolowanym przez AD: „konta netto / domena”
HackSlash
@HackSlash Co masz na myśli? Moja stacja robocza jest członkiem domeny, a zwykłe net accountspolecenie drukuje wszystkie powyższe informacje bez problemów.
David Balažic
Podczas korzystania z /domainzobaczysz następujący komunikat:The request will be processed at a domain controller for domain
HackSlash
4

Ponieważ jest to AD, obecnie dostępny jest tylko jeden wzorzec złożoności (per se): tak zwany wzorzec 3 z 4. Jest on włączony lub wyłączony, chyba że użyjesz narzędzia innej firmy, takiego jak Spec Ops, aby wymusić inny poziom złożoności. Trzy z czterech oznacza, że ​​twoje hasło musi zawierać co najmniej jeden znak z trzech z 4 możliwych zestawów znaków:

  1. DUŻE LITERY
  2. małe litery
  3. Numeryczny (0–9)
  4. Słowa przekleństwa z komiksu (znane również jako znaki specjalne: !@#$%^&*(*))_+itp.)
geoffc
źródło
1
O jakiej wersji systemu Windows mówisz? Istnieje sześć konfigurowalnych parametrów w domyślnej Polityce haseł dostarczonej przez AD.
HackSlash
Przestrzeń jest również uważana za znak specjalny.
Brianary
-4

Nie sądzę, poza próbami brutalnej siły, że jest to programowo możliwe, chyba że jesteś już administratorem. Musisz zadzwonić do działu IT. (Wartości domyślne różnią się w zależności od tego, co skonfigurowali, chociaż jeśli wiesz, że myślę, że możesz sprawdzić wartości domyślne i spróbować. Oczywiście nie ma gwarancji, że ich nie zmienili).

Shinrai
źródło