Bagaimana saya bisa mengetahui kebijakan kompleksitas kata sandi?


31

Seorang pengguna mencoba untuk mengubah kata sandinya di domain Windows dan itu tidak diterima:

Kata sandi yang diberikan tidak memenuhi persyaratan kompleksitas minimum

Bagaimana pengguna akhir dapat mengetahui apa saja persyaratannya? (Solusi yang jelas adalah menghubungi IT tetapi katakanlah itu tidak mungkin)


Jika ada AD di tempat, siapa yang mengelola dan mengapa mereka tidak bisa dihubungi?
Dave M

2
@Dave: ini pertanyaan teoretis :) Saya hanya ingin tahu apakah itu bisa dilakukan
Siim K

8
Tidak selalu begitu teoretis, setelah mencoba untuk membantu pengguna akhir dengan masalah yang tepat ini ketika sysadmin sedang berlibur ... Ini adalah cacat desain yang cukup besar sehingga Windows tidak memberi tahu pengguna apa persyaratan kompleksitas selama proses perubahan kata sandi .
Brian Knoblauch

Jawaban:


14

Setiap pengguna AD dapat melihat nilai atribut bernama " pwdProperties ", id Anda mungkin disetel ke "DOMAIN_PASSWORD_COMPLEX" (nilai "1", integer).

AdFind dapat digunakan untuk mengambil banyak atribut relatif terhadap kata sandi:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Ini adalah contoh dari apa yang akan Anda dapatkan:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) Maret 2011

Menggunakan server: domain.example.org:389 Direktori: Windows Server 2008 R2 Basis DN: DC = domain, DC = contoh, DC = org

dn: DC = domain, DC = contoh, DC = org

lockoutDurasi: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdPanjang: 7
pwdProperti: 1
pwdPengetahuan: 2

1 Objek dikembalikan



3
Informasi tentang persyaratan kompleksitas dapat ditemukan di sini: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon

2
Tidak yakin ini akan sangat berguna jika domain menggunakan filter kata sandi khusus. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache

Untuk solusi tanpa alat pihak ke-3, lihat di bawah !
Qw3ry

42

Perintah bawaan Windows ini (gunakan Command Prompt : cmd.exe) mencetak detail yang sama dengan alat dalam jawaban :

net accounts

Contoh output:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Kredit / sumber: http://windowsitpro.com/security/discovering-details-about-domains-password-policy



7
Anda harus menambahkan bahwa "/ domain" diperlukan di lingkungan yang dikontrol AD: "akun bersih / domain"
HackSlash

@ HackSlash Apa maksudmu? Workstation saya adalah anggota domain dan net accountsperintah biasa mencetak semua informasi di atas tanpa masalah.
David Balažic

Ketika Anda menggunakan /domainpesan ini Anda melihat:The request will be processed at a domain controller for domain
HackSlash

4

Karena ini AD, saat ini hanya ada satu kompleksitas tunggal (per se) pola yang tersedia: yang disebut pola 3 dari 4. Ini aktif atau nonaktif, kecuali jika Anda menggunakan alat pihak ketiga seperti Spec Ops untuk menegakkan beberapa tingkat kompleksitas lainnya. Tiga dari Empat berarti kata sandi Anda perlu memasukkan setidaknya satu karakter dari tiga dari 4 set karakter yang mungkin:

  1. HURUF BESAR
  2. huruf kecil
  3. Numerik (0-9)
  4. Kata-kata kutukan buku komik (alias karakter khusus: !@#$%^&*(*))_+dll)

1
Apa versi windows yang sedang Anda bicarakan? Ada enam parameter yang dapat dikonfigurasi dalam Kebijakan Sandi default yang disediakan oleh AD.
HackSlash

Ruang juga dianggap sebagai karakter khusus.
brianary

-4

Saya tidak percaya, singkat dari upaya kekerasan, bahwa ada cara terprogram untuk melakukan ini kecuali Anda sudah menjadi admin. Jadi, Anda harus memanggilnya. (Default bervariasi tergantung pada apa yang telah mereka atur, meskipun jika Anda tahu saya kira Anda bisa mencari default dan mencoba. Tidak ada jaminan bahwa mereka belum mengubahnya, tentu saja.)

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.