사용자가 Windows 도메인에서 자신의 비밀번호를 변경하려고하는데 허용되지 않습니다 :
제공된 비밀번호가 최소 복잡성 요구 사항을 충족하지 않습니다
최종 사용자는 요구 사항이 무엇인지 어떻게 알 수 있습니까? (명백한 해결책은 IT 부서에 연락하는 것이지만 불가능하다고 가정하겠습니다)
사용자가 Windows 도메인에서 자신의 비밀번호를 변경하려고하는데 허용되지 않습니다 :
제공된 비밀번호가 최소 복잡성 요구 사항을 충족하지 않습니다
최종 사용자는 요구 사항이 무엇인지 어떻게 알 수 있습니까? (명백한 해결책은 IT 부서에 연락하는 것이지만 불가능하다고 가정하겠습니다)
답변:
모든 AD 사용자는 ID가 "DOMAIN_PASSWORD_COMPLEX"(값 "1", 정수)로 설정된 " pwdProperties " 라는 속성 값을 볼 수 있습니다 .
AdFind 는 비밀번호와 관련된 많은 속성을 검색하는 데 사용할 수 있습니다.
AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties
다음은 얻을 수있는 예입니다.
AdFind V01.45.00cpp Joe Richards (joe@joeware.net) 2011 년 3 월
서버 사용 : domain.example.org:389 디렉토리 : Windows Server 2008 R2 기본 DN : DC = domain, DC = example, DC = org
dn : DC = 도메인, DC = 예, DC = org
lockoutDuration : -18000000000
lockOutObservationWindow : -18000000000 lockout 임계 값 :
0
maxPwdAge : -344736000000000
minPwdAge : 0
minPwdLength : 7
pwdProperties : 1
pwdHistoryLength : 2반환 된 1 개의 객체
이 Windows 기본 제공 명령 ( 명령 프롬프트 사용 : cmd.exe)은 응답 도구와 동일한 세부 정보를 인쇄합니다 .
net accounts
출력 예 :
C:\>net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 42
Minimum password length: 0
Length of password history maintained: None
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: WORKSTATION
The command completed successfully.
크레딧 / 소스 : http://windowsitpro.com/security/discovering-details-about-domains-password-policy
net accounts
명령은 위의 모든 정보를 문제없이 인쇄합니다.
/domain
다음과 같은 메시지가 나타납니다.The request will be processed at a domain controller for domain
그것이 AD이기 때문에, 현재 이용 가능한 단일 복잡성 (자체) 패턴, 즉 소위 3/4 패턴 만이 존재한다. Spec Ops와 같은 타사 도구를 사용하여 다른 수준의 복잡성을 적용하지 않는 한 켜져 있거나 꺼져 있습니다. 3 개 중 4 개는 암호에 4 가지 가능한 문자 집합 중 3 가지 중 하나 이상의 문자를 포함해야 함을 의미합니다.
!@#$%^&*(*))_+
등)