Active-Directory
為什麼 Active Directory 密碼重置忽略密碼歷史計數規則?
我有一種情況,我正在使用的 AD 域有一個足夠合理的密碼策略(例如,足夠高
PasswordHistoryCount
的MinPasswordLength
設置等)。我可以使用Set-ADAccountPassword
cmdlet 通過 PowerShell 輕鬆更改給定使用者的密碼,如下所示:Set-ADAccountPassword -Identity "Forename.Surname" -NewPassword (ConvertTo-SecureString -AsPlainText "incorrectp0nypetrolnail" -Force) -OldPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)
ADPasswordComplexityException
當嘗試重用密碼時違反密碼策略時,上述內容也會引發預期,即使用以下消息:"The password does not meet the length, complexity, or history requirement of the domain."
但是,重置密碼時不會強制執行密碼歷史記錄策略。使用“Active Directory 使用者和電腦”UI 或使用
Set-ADAccountPassword
cmdlet 時會發生這種情況(假設使用者以前使用過以下密碼):Set-ADAccountPassword -Identity "Forename.Surname" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)
我本來希望
ADPasswordComplexityException
在這種情況下會引發同樣的異常。那麼 - 有什麼方法可以防止使用者在重置密碼時重複使用密碼?如果沒有,允許這樣做的合理理由是什麼?
這是預期的行為,是設計使然。管理重置不受年齡或歷史要求的限制。