태그 보관물: active-directory

active-directory

비밀번호 복잡성 정책을 어떻게 찾을 수 있습니까? 제공된

사용자가 Windows 도메인에서 자신의 비밀번호를 변경하려고하는데 허용되지 않습니다 :

제공된 비밀번호가 최소 복잡성 요구 사항을 충족하지 않습니다

최종 사용자는 요구 사항이 무엇인지 어떻게 알 수 있습니까? (명백한 해결책은 IT 부서에 연락하는 것이지만 불가능하다고 가정하겠습니다)



답변

모든 AD 사용자는 ID가 “DOMAIN_PASSWORD_COMPLEX”(값 “1”, 정수)로 설정된 ” pwdProperties ” 라는 속성 값을 볼 수 있습니다 .

AdFind 는 비밀번호와 관련된 많은 속성을 검색하는 데 사용할 수 있습니다.

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

다음은 얻을 수있는 예입니다.

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) 2011 년 3 월

서버 사용 : domain.example.org:389 디렉토리 : Windows Server 2008 R2 기본 DN : DC = domain, DC = example, DC = org

dn : DC = 도메인, DC = 예, DC = org

lockoutDuration : -18000000000
lockOutObservationWindow : -18000000000 lockout 임계 값 :
0
maxPwdAge : -344736000000000
minPwdAge : 0
minPwdLength : 7
pwdProperties : 1
pwdHistoryLength : 2

반환 된 1 개의 객체



답변

이 Windows 기본 제공 명령 ( 명령 프롬프트 사용 : cmd.exe)은 응답 도구와 동일한 세부 정보를 인쇄합니다 .

net accounts

출력 예 :

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

크레딧 / 소스 : http://windowsitpro.com/security/discovering-details-about-domains-password-policy


답변

그것이 AD이기 때문에, 현재 이용 가능한 단일 복잡성 (자체) 패턴, 즉 소위 3/4 패턴 만이 존재한다. Spec Ops와 같은 타사 도구를 사용하여 다른 수준의 복잡성을 적용하지 않는 한 켜져 있거나 꺼져 있습니다. 3 개 중 4 개는 암호에 4 가지 가능한 문자 집합 중 3 가지 중 하나 이상의 문자를 포함해야 함을 의미합니다.

  1. 대문자
  2. 소문자
  3. 숫자 (0-9)
  4. 만화 저주 단어 (일명 특수 문자 !@#$%^&*(*))_+등)

답변

나는 당신이 이미 관리자가 아닌 한, 프로그래밍 방식으로이를 수행 할 수있는 방법이 있다는 것을 무차별 강제 시도가 짧다고 생각하지 않습니다. 따라서 IT 부서에 문의해야합니다. (기본값은 설정 한 내용에 따라 달라 지지만 기본값을 찾아보고 시도 할 수 있다고 생각되면 변경하지 않았다는 보장은 없습니다.)


답변