Active-Directory

為什麼 Active Directory 密碼重置忽略密碼歷史計數規則?

  • October 13, 2015

我有一種情況,我正在使用的 AD 域有一個足夠合理的密碼策略(例如,足夠高PasswordHistoryCountMinPasswordLength設置等)。我可以使用Set-ADAccountPasswordcmdlet 通過 PowerShell 輕鬆更改給定使用者的密碼,如下所示:

Set-ADAccountPassword
   -Identity "Forename.Surname"
   -NewPassword (ConvertTo-SecureString -AsPlainText "incorrectp0nypetrolnail" -Force)
   -OldPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)

ADPasswordComplexityException當嘗試重用密碼時違反密碼策略時,上述內容也會引發預期,即使用以下消息:

"The password does not meet the length, complexity, or history requirement of the domain."

但是,重置密碼時不會強制執行密碼歷史記錄策略。使用“Active Directory 使用者和電腦”UI 或使用Set-ADAccountPasswordcmdlet 時會發生這種情況(假設使用者以前使用過以下密碼):

Set-ADAccountPassword
   -Identity "Forename.Surname"
   -Reset
   -NewPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)

我本來希望ADPasswordComplexityException在這種情況下會引發同樣的異常。

那麼 - 有什麼方法可以防止使用者在重置密碼時重複使用密碼?如果沒有,允許這樣做的合理理由是什麼?

這是預期的行為,是設計使然。管理重置不受年齡或歷史要求的限制。

引用自:https://serverfault.com/questions/728591