Как я могу узнать политику сложности пароля?


31

Пользователь пытается изменить свой пароль в домене Windows, но это не принято:

Предоставленный пароль не соответствует требованиям минимальной сложности

Как конечный пользователь может узнать, каковы требования? (Очевидное решение - связаться с ИТ, но, допустим, это невозможно)


Если есть AD, кто им управляет и почему с ним нельзя связаться?
Дейв М

2
@Dave: это теоретический вопрос :) Мне просто любопытно, можно ли это сделать
Siim K

8
Не всегда так теоретично, пытаясь помочь конечному пользователю решить именно эту проблему, когда системный администратор был в отпуске ... Это довольно большой недостаток дизайна, из-за которого Windows не сообщает пользователю, каковы требования к сложности во время процесса смены пароля. ,
Брайан Кноблаух

Ответы:


14

Каждый пользователь AD может видеть значение атрибута с именем « pwdProperties », ваш идентификатор, вероятно, установлен на «DOMAIN_PASSWORD_COMPLEX» (значение «1», целое число).

AdFind можно использовать для получения множества атрибутов, связанных с паролями:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Вот пример того, что вы получите:

AdFind V01.45.00cpp Джо Ричардс (joe@joeware.net) март 2011 г.

Использование сервера: domain.example.org:389 Каталог: Windows Server 2008 R2 Базовое DN: DC = домен, DC = пример, DC = org

дп: DC = домен, DC = пример, DC = орг

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdСвойства: 1
pwdHistoryLength: 2

1 объектов возвращено



3
Информация о требованиях к сложности может быть найдена здесь: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon

2
Не уверен, что это было бы очень полезно, если домен использует пользовательский фильтр паролей. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache

Для решения без сторонних инструментов, смотрите ниже !
Qw3ry

42

Эта встроенная команда Windows (используйте командную строку : cmd.exe) выводит те же данные, что и средство в ответе :

net accounts

Пример вывода:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Кредиты / источник: http://windowsitpro.com/security/discovering-details-about-domains-password-policy



7
Вы должны добавить, что «/ domain» требуется в контролируемой AD среде: «net
account

@HackSlash Что ты имеешь в виду? Моя рабочая станция является членом домена, и простая net accountsкоманда печатает всю вышеуказанную информацию без проблем.
Давид Балажич

При использовании /domainвы видите это сообщение:The request will be processed at a domain controller for domain
HackSlash

4

Поскольку это AD, в настоящее время доступен только один шаблон сложности (сам по себе): так называемый шаблон 3 из 4. Он либо включен, либо выключен, если вы не используете сторонний инструмент, такой как Spec Ops, для обеспечения некоторого другого уровня сложности. Три из четырех означает, что ваш пароль должен содержать хотя бы один символ из трех из четырех возможных наборов символов:

  1. ВЕРХНИЙ РЕГИСТР
  2. нижний регистр
  3. Числовой (0-9)
  4. Слова проклятия комиксов (или специальные символы: и !@#$%^&*(*))_+т. Д.)

1
О какой версии windows вы говорите? В политике паролей по умолчанию, предоставляемой AD, есть шесть настраиваемых параметров.
HackSlash

Космос также считается специальным персонажем.
brianary

-4

Я не верю, если не считать попыток грубой силы, что есть программный способ сделать это, если вы не являетесь администратором. Итак, вам придется позвонить в ИТ. (Значения по умолчанию варьируются в зависимости от того, что они настроили, хотя, если вы знаете, что, я думаю, вы могли бы посмотреть значения по умолчанию и попробовать. Конечно, нет гарантии, что они не изменили его.)

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.