Windows-Server-2008

沒有足夠複雜的密碼

  • November 27, 2012

我的 AD 域中有一個使用者似乎無法自行選擇密碼。我可能還有一個,但他們的密碼到期時間表完全不同,我現在不記得是誰了。

我可以通過 ADU&C 設置密碼,但是當他通過 CAD 嘗試設置密碼時,他會收到“不符合複雜性”的消息。考慮到他只是在做類似“pAssword32”之類的事情,我自己做了一些故障排除,果然它不想那樣輸入密碼。

他是我們的使用者之一,習慣性地使用本地帳戶,然後使用他的 AD 憑據映射驅動器,因此他沒有得到您的密碼將在 4 天內過期,也許您應該更改它的提示,所以他經常“我的密碼已過期,你能修好它嗎?”傳單。

我不想讓他每隔 N 天就通過 ADU&C 在我的肩膀上設置它。我可以設置 48 個鍵盤敲擊字元的臨時密碼並讓他更改一些令人難忘的東西。

我的環境是 Windows 2008 R2 功能級別,並且我正在使用細粒度的密碼策略。事實上,我有兩個這樣的政策:

  1. 對於普通使用者(最小長度,記住的密碼)
  2. 對於特殊公用事業賬戶

我嘗試過的密碼複雜性與長度和字元集選擇的策略相匹配。

User 對象本身的權限看起來很正常,SELF 確實有“更改密碼”的權限。

還有其他地方我應該尋找可以影響這一點的東西嗎?

事實證明,當我設置細粒度的密碼策略時,我的觀察力不夠,過於偏執,或者可能有點……BOFHy。仔細觀察它們(ADSI 編輯不是一個很好的界面,其他東西太多)我注意到我正在設置最小密碼年齡。

顯然,管理員重置確實將此老化計時器重置為零。

顯然,當重置密碼為時過早時,Windows 會報告密碼複雜性錯誤。

除非我想改變它,否則我的“重置我!” 使用者將不得不忍受(例如)2 天的不可能記住但非常長的密碼 dunce-cap,然後才能將其設置為他們可以記住的內容。

也許這只是我需要敦促他們直接進入域帳戶的錘子。

引用自:https://serverfault.com/questions/452636