Bagaimana saya bisa mengetahui kebijakan kompleksitas kata sandi?

31

Seorang pengguna mencoba untuk mengubah kata sandinya di domain Windows dan itu tidak diterima:

Kata sandi yang diberikan tidak memenuhi persyaratan kompleksitas minimum

Bagaimana pengguna akhir dapat mengetahui apa saja persyaratannya? (Solusi yang jelas adalah menghubungi IT tetapi katakanlah itu tidak mungkin)

windows passwords active-directory policy Siim K
sumber
Jika ada AD di tempat, siapa yang mengelola dan mengapa mereka tidak bisa dihubungi?
Dave M
2
@Dave: ini pertanyaan teoretis :) Saya hanya ingin tahu apakah itu bisa dilakukan
Siim K
8
Tidak selalu begitu teoretis, setelah mencoba untuk membantu pengguna akhir dengan masalah yang tepat ini ketika sysadmin sedang berlibur ... Ini adalah cacat desain yang cukup besar sehingga Windows tidak memberi tahu pengguna apa persyaratan kompleksitas selama proses perubahan kata sandi .
Brian Knoblauch

Jawaban:

14

Setiap pengguna AD dapat melihat nilai atribut bernama " pwdProperties ", id Anda mungkin disetel ke "DOMAIN_PASSWORD_COMPLEX" (nilai "1", integer).

AdFind dapat digunakan untuk mengambil banyak atribut relatif terhadap kata sandi:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Ini adalah contoh dari apa yang akan Anda dapatkan:

AdFind V01.45.00cpp Joe Richards ([email protected]) Maret 2011

Menggunakan server: domain.example.org:389 Direktori: Windows Server 2008 R2 Basis DN: DC = domain, DC = contoh, DC = org

dn: DC = domain, DC = contoh, DC = org

lockoutDurasi: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdPanjang: 7
pwdProperti: 1
pwdPengetahuan: 2

1 Objek dikembalikan

Shadok
sumber
3
Informasi tentang persyaratan kompleksitas dapat ditemukan di sini: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon
2
Tidak yakin ini akan sangat berguna jika domain menggunakan filter kata sandi khusus. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache
Untuk solusi tanpa alat pihak ke-3, lihat di bawah !
Qw3ry
42

Perintah bawaan Windows ini (gunakan Command Prompt : cmd.exe) mencetak detail yang sama dengan alat dalam jawaban :

net accounts

Contoh output:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Kredit / sumber: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

David Balažic
sumber
Anda MVP yang asli. technet.microsoft.com/en-us/library/bb490698.aspx
HackSlash
7
Anda harus menambahkan bahwa "/ domain" diperlukan di lingkungan yang dikontrol AD: "akun bersih / domain"
HackSlash
@ HackSlash Apa maksudmu? Workstation saya adalah anggota domain dan net accountsperintah biasa mencetak semua informasi di atas tanpa masalah.
David Balažic
Ketika Anda menggunakan /domainpesan ini Anda melihat:The request will be processed at a domain controller for domain
HackSlash
4

Karena ini AD, saat ini hanya ada satu kompleksitas tunggal (per se) pola yang tersedia: yang disebut pola 3 dari 4. Ini aktif atau nonaktif, kecuali jika Anda menggunakan alat pihak ketiga seperti Spec Ops untuk menegakkan beberapa tingkat kompleksitas lainnya. Tiga dari Empat berarti kata sandi Anda perlu memasukkan setidaknya satu karakter dari tiga dari 4 set karakter yang mungkin:

  1. HURUF BESAR
  2. huruf kecil
  3. Numerik (0-9)
  4. Kata-kata kutukan buku komik (alias karakter khusus: !@#$%^&*(*))_+dll)
geoffc
sumber
1
Apa versi windows yang sedang Anda bicarakan? Ada enam parameter yang dapat dikonfigurasi dalam Kebijakan Sandi default yang disediakan oleh AD.
HackSlash
Ruang juga dianggap sebagai karakter khusus.
brianary
-4

Saya tidak percaya, singkat dari upaya kekerasan, bahwa ada cara terprogram untuk melakukan ini kecuali Anda sudah menjadi admin. Jadi, Anda harus memanggilnya. (Default bervariasi tergantung pada apa yang telah mereka atur, meskipun jika Anda tahu saya kira Anda bisa mencari default dan mencoba. Tidak ada jaminan bahwa mereka belum mengubahnya, tentu saja.)

Shinrai
sumber