Wie kann ich die Richtlinie zur Kennwortkomplexität herausfinden?

31

Ein Benutzer versucht, sein Kennwort in einer Windows-Domäne zu ändern, und es wird nicht akzeptiert:

Das angegebene Passwort entspricht nicht den Mindestanforderungen an die Komplexität

Wie kann ein Endbenutzer die Anforderungen herausfinden? (Die naheliegende Lösung wäre, sich an die IT zu wenden, aber sagen wir, dass dies nicht möglich ist.)

windows passwords active-directory policy Siim K
quelle
Wenn es eine AD gibt, wer verwaltet sie und warum können sie nicht kontaktiert werden?
Dave M
2
@ Dave: Es ist eine theoretische Frage :) Ich bin nur gespannt, ob es geht
Siim K
8
Nicht immer so theoretisch, da ich versucht habe, einem Endbenutzer mit genau diesem Problem zu helfen, als der Sysadmin im Urlaub war ... Es ist ein ziemlich großer Konstruktionsfehler, dass Windows dem Benutzer nicht mitteilt, welche Komplexitätsanforderungen während des Kennwortänderungsprozesses bestehen .
Brian Knoblauch

Antworten:

14

Jeder AD-Benutzer kann den Wert des Attributs " pwdProperties " sehen, wobei Ihre ID wahrscheinlich auf "DOMAIN_PASSWORD_COMPLEX" (Wert "1", Ganzzahl) festgelegt ist.

Mit AdFind können viele Attribute in Bezug auf Kennwörter abgerufen werden:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Hier ist ein Beispiel dafür, was Sie bekommen:

AdFind V01.45.00cpp Joe Richards ([email protected]) März 2011

Verwenden von Server: domain.example.org:389 Verzeichnis: Windows Server 2008 R2 Basis-DN: DC = Domäne, DC = Beispiel, DC = Organisation

dn: DC = Domäne, DC = Beispiel, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdProperties: 1
pwdHistoryLength: 2

1 Objekte zurückgegeben

Shadok
quelle
3
Informationen zu den Komplexitätsanforderungen finden Sie hier: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon
2
Nicht sicher, ob dies sehr nützlich wäre, wenn die Domain einen benutzerdefinierten Passwortfilter verwendet. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache
Eine Lösung ohne Tools von Drittanbietern finden Sie unten !
Qw3ry
42

Dieses Windows integrierten Befehl (verwenden Sie die Eingabeaufforderung : cmd.exe) druckt die gleichen Details wie das Werkzeug in Antwort :

net accounts

Beispielausgabe:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Credits / Quelle: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

David Balažic
quelle
Du bist der wahre MVP. technet.microsoft.com/en-us/library/bb490698.aspx
HackSlash
7
Sie sollten hinzufügen, dass "/ domain" in einer AD-gesteuerten Umgebung erforderlich ist: "net accounts / domain"
HackSlash
@ HackSlash Was meinst du? Meine Workstation ist Mitglied einer Domäne und der net accountsBefehl plain gibt alle oben genannten Informationen ohne Probleme aus.
David Balažic
Wenn Sie die verwenden /domain, sehen Sie diese Meldung:The request will be processed at a domain controller for domain
HackSlash
4

Da es sich um AD handelt, ist derzeit nur ein einziges Komplexitätsmuster (per se) verfügbar: das sogenannte 3-aus-4-Muster. Es ist entweder aktiviert oder deaktiviert, es sei denn, Sie verwenden ein Drittanbieter-Tool wie Spec Ops, um eine andere Komplexitätsstufe zu erzwingen. Drei von vier bedeutet, dass Ihr Passwort mindestens ein Zeichen aus drei der vier möglichen Zeichensätze enthalten muss:

  1. OBERER FALL
  2. Kleinbuchstaben
  3. Numerisch (0-9)
  4. Comic-Schimpfwörter (auch Sonderzeichen genannt: !@#$%^&*(*))_+etc)
geoffc
quelle
1
Von welcher Windows-Version sprechen Sie? Die von AD bereitgestellte Standardkennwortrichtlinie enthält sechs konfigurierbare Parameter.
HackSlash
Der Weltraum gilt auch als Sonderzeichen.
Brianary
-4

Ich glaube nicht, dass es, abgesehen von gewaltsamen Versuchen, programmgesteuert möglich ist, dies zu tun, es sei denn, Sie sind bereits Administrator. Sie müssen also die IT anrufen. (Die Standardeinstellungen hängen davon ab, was sie eingerichtet haben. Wenn Sie jedoch wissen, dass Sie die Standardeinstellungen nachschlagen können, können Sie es versuchen. Natürlich kann nicht garantiert werden, dass sie nicht geändert wurden.)

Shinrai
quelle