Пользователь не может изменить пароль - групповая политика Active Directory

Question

Пользователь не может изменить пароль - групповая политика Active Directory

Я видел эту проблему, но ответы, похоже, не применимы. Когда пользователь пытается изменить свой пароль с помощью control-alt-delete -> change password, он получает сообщение "Невозможно обновить пароль. Значение, предоставленное для нового пароля, не соответствует требованиям к длине, сложности или истории домен." Мы даже пробовали чрезвычайно длинные сложные строки в качестве тестов, которые также генерируют сообщение об ошибке.

В AD U&C я могу принудительно изменить пароль учетной записи при следующем входе в систему, что успешно работает.

Соответствующий параметр безопасности применяется на уровне домена в GPO политики домена по умолчанию. Когда я бегу gpupdate /force и затем просмотрите RSOP на одной из рабочих станций, я вижу настройки ниже (которые соответствуют GPO):

Enforce Password History: 2 запомненных пароля
Максимальный возраст: 120 дней
Минимальный срок действия пароля: 0 дней (это включено и установлено в 0 дней в объекте групповой политики)
Минимальная длина: 6 символов
Пароль должен соответствовать требованиям сложности: отключен
Хранить пароли с использованием обратимого шифрования: отключено

Я бегу dcdiag против наших ДК. Они проходят все испытания. Любые предложения о том, почему может возникнуть эта проблема, или как ее исправить?

2

active-directory windows-server-2003 group-policy password-policy

Источник

newevox 19 авг '13 в 22:20

3 ответа

Другие вопросы по тегам active-directory windows-server-2003 group-policy password-policy

Austin ''Danger'' Powers 20 авг '13 в 03:16 2013-08-20 03:16 · Answer 1 · 2013-08-20 03:16

Похоже, что ваша политика домена по умолчанию обеспечивает минимальную сложность пароля - вам, вероятно, придется изменить групповую политику, если вы хотите изменить это поведение.

От Microsoft:

"Пароль должен соответствовать требованиям сложности

Этот параметр политики проверяет все новые пароли, чтобы убедиться, что они соответствуют основным требованиям для надежных паролей. По умолчанию для этого параметра политики в Windows Server 2008 задано значение Отключено, но для домена Windows Server 2008 установлено значение Включено для обеих сред, описанных в этом руководстве.

Когда этот параметр политики включен, пользователи должны создавать надежные пароли, чтобы соответствовать следующим минимальным требованиям:

Пароли не могут содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа.

Пароли должны быть длиной не менее шести символов.

Пароли должны содержать символы из трех следующих четырех категорий:

Английские заглавные буквы (от A до Z).

Английские строчные буквы (от a до z).

Не алфавитные символы (например,!, $, #, %).

Каждый дополнительный символ в пароле увеличивает его сложность в геометрической прогрессии.

Например, семизначный буквенный буквенный пароль будет содержать 267 (приблизительно 8 x 109 или 8 миллиардов) возможных комбинаций.

При скорости 1 000 000 попыток в секунду (возможность многих утилит для взлома паролей) взлом такого пароля займет всего 133 минуты.

Семизначный буквенный пароль с чувствительностью к регистру имеет 527 комбинаций.

Буквенно-цифровой пароль, состоящий из семи символов без знаков препинания, содержит 627 комбинаций.

Восьмисимвольный пароль имеет 268 (или 2 x 1 011) возможных комбинаций. Хотя это может показаться большим числом, при 1000000 попыток в секунду все возможные пароли потребуются всего за 59 часов.

Помните, что это время значительно увеличится для паролей, которые используют символы ALT и другие специальные символы клавиатуры, такие как "!" или же "@".

Правильное использование настроек пароля помогает предотвратить успех атаки методом перебора ".

Источник: http://technet.microsoft.com/en-us/library/cc264456.aspx

Falcon Momot 20 авг '13 в 03:25 2013-08-20 03:25 · Answer 2 · 2013-08-20 03:25

Я вижу, вы запустили RSOP на рабочей станции. Это повлияет на локальные учетные записи, но если изменяемый пароль является учетной записью домена, он будет проверен по RSOP на контроллере домена, обрабатывающем изменение пароля, если я вспомню.

Кроме того, можно написать сторонние плагины, которые проверяют сложность пароля с помощью Windows API. Hitachi ID Systems публикует один такой компонент (который запрашивает у удаленного сервера, соответствует ли пароль установленным там правилам); когда такой плагин отклоняет пароль, он выглядит идентично тому, что происходит, когда встроенное в Windows правило сложности 3 из 4 отклоняет его. Вам следует выяснить, есть ли у вас такие вещи в вашей среде (они будут установлены на контроллерах домена) и, если они есть, либо определите, что с ними не так, либо избавьтесь от них.

Тем не менее, поскольку принудительное изменение пароля устраняет проблему, вероятно, проблема заключается в том, что применяется правило минимального возраста. Проверьте RSOP на DC для этого.

michael 21 дек '13 в 14:34 2013-12-21 14:34 · Answer 3 · 2013-12-21 14:34

Убедитесь, что для данной конкретной учетной записи пользователя не созданы и не применены детальные политики паролей (если функциональный уровень - 2008 или более поздний). Проверьте атрибут msDS-resultantPSO для пользователя, он содержит примененную политику точных паролей для соответствующего пользователя. msDS-resultantPSO является составным атрибутом. Если атрибут недоступен, недоступен, применяется политика домена по умолчанию.