Windows-Server-2008

Windows Server 2008 禁用密碼複雜性要求

  • July 13, 2015

我正在使用 Server 2008 R2 域控制器,試圖解決密碼複雜性要求似乎已啟用的錯誤,即使它們在組策略中被禁用。一些注意事項:

  • 我正在更改域級別的密碼策略
  • 我已設置無密碼年齡,將長度要求設置為較低的數字,並禁用了複雜性要求,但我仍然需要送出複雜密碼
  • 本地 secpol 設置是一樣的,雖然我認為不應該考慮它們
  • 我使用 /force 選項執行 gpupdate 並重新啟動系統
  • RSOP 表示應該禁用複雜性要求。

我不確定我的 GPO 是否沒有被應用(儘管 RSOP 說是),或者是否啟用了另一個設置(我的所有搜尋都沒有顯示)。

任何幫助,將不勝感激。

編輯:另一件奇怪的事情:我啟動到 Active Directory 還原模式以嘗試更改本地管理員帳戶的密碼,並且這些本地帳戶也有復雜性要求!從 ADRS 執行 secpol.msc 表明不需要復雜性,所以我認為這不是 Active Directory 問題或真正的 WIndows 安全策略問題。也許有些東西被破壞了?不幸的是,似乎沒有一種簡單的方法可以準確地查看 SAM(或 LSASS?)正在查看的內容以確定需要復雜的密碼。沒有任何意義。

檢查您是否安裝了自定義密碼過濾器。

Key: HKLM\System\CurrentControlSet\Control\LSA  
Value: Notification Packages  

通常,當未安裝自定義密碼過濾器時,它將具有:scecli rassfm

安裝和註冊密碼過濾器 DLL

https://msdn.microsoft.com/en-us/library/windows/desktop/ms721766%28v=vs.85%29.aspx

從預設域 GPO 應用基於域的帳戶策略。如果您在另一個 GPO 中配置它們,則該 GPO 必須在域級別連結,並且優先級必須高於預設域策略。

因為帳戶策略是電腦配置設置,它們會影響受設置影響的電腦上的本地安全帳戶數據庫,在域中是每個域控制器上的 AD 數據庫。因此,當您更改基於域的帳戶策略時,您需要刷新域控制器上的組策略,然後才能看到它們對域使用者的影響。

引用自:https://serverfault.com/questions/704934