Comment connaître la politique de complexité des mots de passe?

31

Un utilisateur essaie de changer son mot de passe dans un domaine Windows et ce n'est pas accepté:

Le mot de passe fourni ne répond pas aux exigences de complexité minimale

Comment un utilisateur final peut-il savoir quelles sont les exigences? (La solution évidente serait de contacter le service informatique mais disons que ce n'est pas possible)

Siim K
la source
S'il y a un AD en place, qui le gère et pourquoi ne peut-il pas être contacté?
Dave M
2
@Dave: c'est une question théorique :) Je suis juste curieux de savoir si cela peut être fait
Siim K
8
Pas toujours aussi théorique, ayant essayé d'aider un utilisateur final avec ce problème exact lorsque l'administrateur système était en vacances ... .
Brian Knoblauch

Réponses:

14

Chaque utilisateur AD peut voir la valeur de l'attribut nommé " pwdProperties ", votre identifiant probablement défini sur "DOMAIN_PASSWORD_COMPLEX" (valeur "1", entier).

AdFind peut être utilisé pour récupérer de nombreux attributs relatifs aux mots de passe:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Voici un exemple de ce que vous obtiendrez:

AdFind V01.45.00cpp Joe Richards ([email protected]) mars 2011

En utilisant le serveur: domain.example.org:389 Répertoire: Windows Server 2008 R2 DN de base: DC = domaine, DC = exemple, DC = org

dn: DC = domaine, DC = exemple, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdProperties: 1
pwdHistoryLength: 2

1 Objets retournés


Shadok
la source
3
Des informations sur les exigences de complexité peuvent être trouvées ici: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon
2
Je ne suis pas sûr que cela serait très utile si le domaine utilise un filtre de mot de passe personnalisé. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache
Pour une solution sans outils tiers, voir ci - dessous !
Qw3ry
42

Cette commande intégrée de Windows (utilisez l' invite de commande : cmd.exe) imprime les mêmes détails que l'outil en réponse :

net accounts

Exemple de sortie:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Crédits / source: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

David Balažic
la source
7
Vous devez ajouter que "/ domain" est requis dans un environnement contrôlé par AD: "net accounts / domain"
HackSlash
@HackSlash Que voulez-vous dire? Mon poste de travail est membre d'un domaine et la net accountscommande ordinaire imprime toutes les informations ci-dessus sans problème.
David Balažic
Lorsque vous utilisez le /domainvous voyez ce message:The request will be processed at a domain controller for domain
HackSlash
4

Puisqu'il s'agit d'AD, il n'y a actuellement qu'un seul motif de complexité (en soi) disponible: le motif dit 3 sur 4. Il est activé ou désactivé, sauf si vous utilisez un outil tiers comme Spec Ops pour appliquer un autre niveau de complexité. Trois sur quatre signifie que votre mot de passe doit inclure au moins un caractère de trois des 4 jeux de caractères possibles:

  1. CAS SUPÉRIEUR
  2. minuscule
  3. Numérique (0-9)
  4. Mots de malédiction de bande dessinée (alias caractères spéciaux: !@#$%^&*(*))_+etc.)
geoffc
la source
1
De quelle version de Windows parlez-vous? Il existe six paramètres configurables dans la stratégie de mot de passe par défaut fournie par AD.
HackSlash
L'espace est également considéré comme un caractère spécial.
brianary
-4

Je ne crois pas, à moins de tentatives de force brute, qu'il existe un moyen de le faire par programme, sauf si vous êtes déjà administrateur. Vous devrez donc l'appeler. (Les valeurs par défaut varient en fonction de ce qu'elles ont été configurées, bien que si vous savez que je suppose que vous pouvez rechercher les valeurs par défaut et essayer. Aucune garantie qu'elles n'ont pas changé, bien sûr.)

Shinrai
la source