비밀번호 복잡성 정책을 어떻게 찾을 수 있습니까?


31

사용자가 Windows 도메인에서 자신의 비밀번호를 변경하려고하는데 허용되지 않습니다 :

제공된 비밀번호가 최소 복잡성 요구 사항을 충족하지 않습니다

최종 사용자는 요구 사항이 무엇인지 어떻게 알 수 있습니까? (명백한 해결책은 IT 부서에 연락하는 것이지만 불가능하다고 가정하겠습니다)


AD가있는 경우 누가 관리하며 왜 연락 할 수 없습니까?
Dave M

2
@Dave : 이론적 인 질문입니다.) 가능하다면 궁금합니다
Siim K

8
sysadmin이 휴가 중일 때 최종 사용자 가이 정확한 문제를 해결하도록 항상 노력해 온 이론은 아니지만 ... 암호 변경 과정에서 Windows가 사용자에게 복잡한 요구 사항을 알려주지 않는 것은 매우 큰 디자인 결함입니다. .
Brian Knoblauch

답변:


14

모든 AD 사용자는 ID가 "DOMAIN_PASSWORD_COMPLEX"(값 "1", 정수)로 설정된 " pwdProperties " 라는 속성 값을 볼 수 있습니다 .

AdFind 는 비밀번호와 관련된 많은 속성을 검색하는 데 사용할 수 있습니다.

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

다음은 얻을 수있는 예입니다.

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) 2011 년 3 월

서버 사용 : domain.example.org:389 디렉토리 : Windows Server 2008 R2 기본 DN : DC = domain, DC = example, DC = org

dn : DC = 도메인, DC = 예, DC = org

lockoutDuration : -18000000000
lockOutObservationWindow : -18000000000 lockout 임계 값 :
0
maxPwdAge : -344736000000000
minPwdAge : 0
minPwdLength : 7
pwdProperties : 1
pwdHistoryLength : 2

반환 된 1 개의 객체



3
복잡성 요구 사항에 대한 정보는 여기를 참조
kroimon

2
도메인에서 사용자 정의 비밀번호 필터를 사용하는 경우 이것이 매우 유용 할 것입니다. msdn.microsoft.com/ko-kr/library/windows/desktop/ms721882.aspx
Zoredache 2016 년

타사 도구가없는 솔루션은 아래를 참조하십시오 !
Qw3ry

42

이 Windows 기본 제공 명령 ( 명령 프롬프트 사용 : cmd.exe)은 응답 도구와 동일한 세부 정보를 인쇄합니다 .

net accounts

출력 예 :

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

크레딧 / 소스 : http://windowsitpro.com/security/discovering-details-about-domains-password-policy



7
AD 제어 환경에서 "/ 도메인"이 필요하다는 것을 추가해야합니다. "net accounts / domain"
HackSlash

@HackSlash 무슨 뜻인가요? 내 워크 스테이션은 도메인의 구성원이며 일반 net accounts명령은 위의 모든 정보를 문제없이 인쇄합니다.
David Balažic

사용하면 /domain다음과 같은 메시지가 나타납니다.The request will be processed at a domain controller for domain
HackSlash

4

그것이 AD이기 때문에, 현재 이용 가능한 단일 복잡성 (자체) 패턴, 즉 소위 3/4 패턴 만이 존재한다. Spec Ops와 같은 타사 도구를 사용하여 다른 수준의 복잡성을 적용하지 않는 한 켜져 있거나 꺼져 있습니다. 3 개 중 4 개는 암호에 4 가지 가능한 문자 집합 중 3 가지 중 하나 이상의 문자를 포함해야 함을 의미합니다.

  1. 대문자
  2. 소문자
  3. 숫자 (0-9)
  4. 만화 저주 단어 (일명 특수 문자 !@#$%^&*(*))_+등)

1
어떤 버전의 창에 대해 이야기하고 있습니까? AD에서 제공하는 기본 비밀번호 정책에는 6 개의 구성 가능한 매개 변수가 있습니다.
HackSlash

공간은 또한 특수 문자로 간주됩니다.
brianary

-4

나는 당신이 이미 관리자가 아닌 한, 프로그래밍 방식으로이를 수행 할 수있는 방법이 있다는 것을 무차별 강제 시도가 짧다고 생각하지 않습니다. 따라서 IT 부서에 문의해야합니다. (기본값은 설정 한 내용에 따라 달라 지지만 기본값을 찾아보고 시도 할 수 있다고 생각되면 변경하지 않았다는 보장은 없습니다.)

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.