Come posso trovare la politica di complessità della password?


31

Un utente tenta di modificare la propria password in un dominio Windows e non è accettato:

La password fornita non soddisfa i requisiti minimi di complessità

Come può un utente finale scoprire quali sono i requisiti? (La soluzione ovvia sarebbe contattare l'IT ma diciamo che non è possibile)


Se è presente un annuncio, chi lo gestisce e perché non può essere contattato?
Dave M,

2
@Dave: è una domanda teorica :) Sono solo curioso di sapere se si può fare
Siim K

8
Non sempre così teorico, avendo cercato di aiutare un utente finale con questo esatto problema quando l'amministratore di sistema era in vacanza ... È un difetto di progettazione piuttosto grande che Windows non dice all'utente quali sono i requisiti di complessità durante il processo di modifica della password .
Brian Knoblauch,

Risposte:


14

Ogni utente AD può vedere il valore dell'attributo chiamato " pwdProperties ", il tuo ID probabilmente impostato su "DOMAIN_PASSWORD_COMPLEX" (valore "1", intero).

AdFind può essere utilizzato per recuperare molti attributi relativi alle password:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Ecco un esempio di ciò che otterrai:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) marzo 2011

Utilizzando il server: domain.example.org:389 Directory: DN di base di Windows Server 2008 R2: DC = dominio, DC = esempio, DC = org

dn: DC = dominio, DC = esempio, DC = org

lockoutDurata: -18000000000
lockOutObservationWindow: -18000000000 lockout
Soglia: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdProprietà: 1
pwdHistoryLength: 2

1 oggetti restituiti



3
Informazioni sui requisiti di complessità sono disponibili qui: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon

2
Non sono sicuro che ciò sarebbe molto utile se il dominio utilizza un filtro password personalizzato. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache

Per una soluzione senza strumenti di terze parti, vedi sotto !
Qw3ry,

42

Questo comando integrato di Windows (utilizzare il prompt dei comandi : cmd.exe) stampa gli stessi dettagli dello strumento in risposta :

net accounts

Esempio di output:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Crediti / fonte: http://windowsitpro.com/security/discovering-details-about-domains-password-policy



7
Dovresti aggiungere che "/ domain" è richiesto in un ambiente controllato da AD: "net account / domain"
HackSlash

@HackSlash Che vuoi dire? La mia workstation è un membro di un dominio e il semplice net accountscomando stampa senza problemi tutte le informazioni sopra riportate.
David Balažic,

Quando lo usi /domainvedi questo messaggio:The request will be processed at a domain controller for domain
HackSlash

4

Dal momento che è AD, attualmente è disponibile un solo modello di complessità (di per sé): il cosiddetto modello 3 di 4. È attivato o disattivato, a meno che non si utilizzi uno strumento di terze parti come Spec Ops per applicare un altro livello di complessità. Tre su quattro indica che la password deve includere almeno un carattere di tre dei 4 set di caratteri possibili:

  1. MAIUSCOLO
  2. lettere minuscole
  3. Numerico (0-9)
  4. Parole di maledizione dei fumetti (ovvero caratteri speciali: !@#$%^&*(*))_+ecc.)

1
Di quale versione di Windows stai parlando? Esistono sei parametri configurabili nella politica password predefinita fornita da AD.
HackSlash,

Lo spazio è anche considerato un personaggio speciale.
brianary

-4

Non credo, a parte i tentativi di forza bruta, che esiste un modo programmaticamente di farlo a meno che tu non sia già un amministratore. Quindi, dovrai chiamare IT. (Le impostazioni predefinite variano in base a ciò che sono state impostate, anche se se sai che suppongo che potresti cercare le impostazioni predefinite e provare. Nessuna garanzia che non le abbiano modificate, ovviamente.)

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.