Як я можу дізнатися політику складності пароля?

Користувач намагається змінити свій пароль у домені Windows, але це не прийнято:

Наданий пароль не відповідає вимогам мінімальної складності

Як кінцевий користувач може з'ясувати, які вимоги? (Очевидним рішенням було б звернутися до ІТ, але скажімо, що це неможливо)

Кожен користувач AD може побачити значення атрибута з назвою " pwdProperties ", ваш ідентифікатор, ймовірно, встановлений на "DOMAIN_PASSWORD_COMPLEX" (значення "1", ціле число).

AdFind можна використовувати для отримання багатьох атрибутів щодо паролів:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Ось приклад того, що ви отримаєте:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) березень 2011 року

Використання сервера: domain.example.org:389 Каталог: Windows Server 2008 R2 Base DN: DC = домен, DC = приклад, DC = org

dn: DC = домен, DC = приклад, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdвластивості: 1
pwdHistoryLength: 2

1 повернуті об’єкти

Ця вбудована команда Windows (використовуйте командний рядок : cmd.exe) друкує ті самі деталі, що й інструмент у відповіді :

net accounts

Приклад виводу:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Кредити / джерело: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

Оскільки це AD, на даний момент є лише одна складна (як така) модель: так званий 3 з 4 моделей. Він увімкнено або вимкнено, якщо ви не використовуєте сторонній інструмент на зразок Spec Ops для забезпечення певного рівня складності. Три з чотирьох означає, що ваш пароль повинен містити принаймні один символ із трьох із 4 можливих наборів символів:

1. Верхній випадок
2. нижній регістр
3. Числові (0-9)
4. Прокляття слів коміксів (ака спеціальні символи: !@#$%^&*(*))_+тощо)

Я не вірю, за винятком грубих спроб, що це можливо зробити програмно, якщо ви вже не адміністратор. Отже, вам доведеться зателефонувати в ІТ. (Значення за замовчуванням змінюються залежно від того, що вони встановили, хоча якщо ви знаєте, що, напевно, ви можете переглянути налаштування за замовчуванням і спробувати. Без гарантії, що вони його не змінили, звичайно.)