Windows-Server-2008
Windows Server 2008 禁用密碼複雜性要求
我正在使用 Server 2008 R2 域控制器,試圖解決密碼複雜性要求似乎已啟用的錯誤,即使它們在組策略中被禁用。一些注意事項:
- 我正在更改域級別的密碼策略
- 我已設置無密碼年齡,將長度要求設置為較低的數字,並禁用了複雜性要求,但我仍然需要送出複雜密碼
- 本地 secpol 設置是一樣的,雖然我認為不應該考慮它們
- 我使用 /force 選項執行 gpupdate 並重新啟動系統
- RSOP 表示應該禁用複雜性要求。
我不確定我的 GPO 是否沒有被應用(儘管 RSOP 說是),或者是否啟用了另一個設置(我的所有搜尋都沒有顯示)。
任何幫助,將不勝感激。
編輯:另一件奇怪的事情:我啟動到 Active Directory 還原模式以嘗試更改本地管理員帳戶的密碼,並且這些本地帳戶也有復雜性要求!從 ADRS 執行 secpol.msc 表明不需要復雜性,所以我認為這不是 Active Directory 問題或真正的 WIndows 安全策略問題。也許有些東西被破壞了?不幸的是,似乎沒有一種簡單的方法可以準確地查看 SAM(或 LSASS?)正在查看的內容以確定需要復雜的密碼。沒有任何意義。
檢查您是否安裝了自定義密碼過濾器。
Key: HKLM\System\CurrentControlSet\Control\LSA Value: Notification Packages
通常,當未安裝自定義密碼過濾器時,它將具有:
scecli rassfm
安裝和註冊密碼過濾器 DLL
https://msdn.microsoft.com/en-us/library/windows/desktop/ms721766%28v=vs.85%29.aspx
從預設域 GPO 應用基於域的帳戶策略。如果您在另一個 GPO 中配置它們,則該 GPO 必須在域級別連結,並且優先級必須高於預設域策略。
因為帳戶策略是電腦配置設置,它們會影響受設置影響的電腦上的本地安全帳戶數據庫,在域中是每個域控制器上的 AD 數據庫。因此,當您更改基於域的帳戶策略時,您需要刷新域控制器上的組策略,然後才能看到它們對域使用者的影響。