Як я можу дізнатися політику складності пароля?


31

Користувач намагається змінити свій пароль у домені Windows, але це не прийнято:

Наданий пароль не відповідає вимогам мінімальної складності

Як кінцевий користувач може з'ясувати, які вимоги? (Очевидним рішенням було б звернутися до ІТ, але скажімо, що це неможливо)


Якщо є AD, хто керує ним, і чому з ними не можна зв’язатися?
Дейв М

2
@Dave: це теоретичне запитання :) Мені просто цікаво, чи можна це зробити
Siim K

8
Не завжди настільки теоретично, намагаючись допомогти кінцевому користувачеві з цією точною проблемою, коли sysadmin був у відпустці ... Це досить великий недолік дизайну, що Windows не повідомляє користувачеві, які вимоги щодо складності під час процесу зміни пароля. .
Брайан Ноблеуч,

Відповіді:


14

Кожен користувач AD може побачити значення атрибута з назвою " pwdProperties ", ваш ідентифікатор, ймовірно, встановлений на "DOMAIN_PASSWORD_COMPLEX" (значення "1", ціле число).

AdFind можна використовувати для отримання багатьох атрибутів щодо паролів:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Ось приклад того, що ви отримаєте:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) березень 2011 року

Використання сервера: domain.example.org:389 Каталог: Windows Server 2008 R2 Base DN: DC = домен, DC = приклад, DC = org

dn: DC = домен, DC = приклад, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdвластивості: 1
pwdHistoryLength: 2

1 повернуті об’єкти



3
Інформація про вимоги до складнощів можна знайти тут: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon

2
Не впевнений, що це буде дуже корисно, якщо домен використовує спеціальний фільтр паролів. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache

Про рішення без сторонніх інструментів дивіться нижче !
Qw3ry

42

Ця вбудована команда Windows (використовуйте командний рядок : cmd.exe) друкує ті самі деталі, що й інструмент у відповіді :

net accounts

Приклад виводу:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Кредити / джерело: http://windowsitpro.com/security/discovering-details-about-domains-password-policy



7
Вам слід додати, що "/ домен" потрібен у середовищі, що контролюється AD: "чисті облікові записи / домен"
HackSlash

@HackSlash Що ти маєш на увазі? Моя робоча станція є членом домену, і звичайна net accountsкоманда без проблем роздруковує всю вищезгадану інформацію.
Девід Балажич

Під час використання /domainви бачите це повідомлення:The request will be processed at a domain controller for domain
HackSlash

4

Оскільки це AD, на даний момент є лише одна складна (як така) модель: так званий 3 з 4 моделей. Він увімкнено або вимкнено, якщо ви не використовуєте сторонній інструмент на зразок Spec Ops для забезпечення певного рівня складності. Три з чотирьох означає, що ваш пароль повинен містити принаймні один символ із трьох із 4 можливих наборів символів:

  1. Верхній випадок
  2. нижній регістр
  3. Числові (0-9)
  4. Прокляття слів коміксів (ака спеціальні символи: !@#$%^&*(*))_+тощо)

1
Про яку версію Windows ви говорите? У політиці паролів за замовчуванням, наданою AD, є шість настроюваних параметрів.
HackSlash

Космос також вважається особливим персонажем.
браріана

-4

Я не вірю, за винятком грубих спроб, що це можливо зробити програмно, якщо ви вже не адміністратор. Отже, вам доведеться зателефонувати в ІТ. (Значення за замовчуванням змінюються залежно від того, що вони встановили, хоча якщо ви знаєте, що, напевно, ви можете переглянути налаштування за замовчуванням і спробувати. Без гарантії, що вони його не змінили, звичайно.)

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.