Comment connaître la politique de complexité des mots de passe?

Un utilisateur essaie de changer son mot de passe dans un domaine Windows et ce n'est pas accepté:

Le mot de passe fourni ne répond pas aux exigences de complexité minimale

Comment un utilisateur final peut-il savoir quelles sont les exigences? (La solution évidente serait de contacter le service informatique mais disons que ce n'est pas possible)

Chaque utilisateur AD peut voir la valeur de l'attribut nommé " pwdProperties ", votre identifiant probablement défini sur "DOMAIN_PASSWORD_COMPLEX" (valeur "1", entier).

AdFind peut être utilisé pour récupérer de nombreux attributs relatifs aux mots de passe:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Voici un exemple de ce que vous obtiendrez:

AdFind V01.45.00cpp Joe Richards ([email protected]) mars 2011

En utilisant le serveur: domain.example.org:389 Répertoire: Windows Server 2008 R2 DN de base: DC = domaine, DC = exemple, DC = org

dn: DC = domaine, DC = exemple, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdProperties: 1
pwdHistoryLength: 2

1 Objets retournés

Cette commande intégrée de Windows (utilisez l' invite de commande : cmd.exe) imprime les mêmes détails que l'outil en réponse :

net accounts

Exemple de sortie:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Crédits / source: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

Puisqu'il s'agit d'AD, il n'y a actuellement qu'un seul motif de complexité (en soi) disponible: le motif dit 3 sur 4. Il est activé ou désactivé, sauf si vous utilisez un outil tiers comme Spec Ops pour appliquer un autre niveau de complexité. Trois sur quatre signifie que votre mot de passe doit inclure au moins un caractère de trois des 4 jeux de caractères possibles:

1. CAS SUPÉRIEUR
2. minuscule
3. Numérique (0-9)
4. Mots de malédiction de bande dessinée (alias caractères spéciaux: !@#$%^&*(*))_+etc.)

Je ne crois pas, à moins de tentatives de force brute, qu'il existe un moyen de le faire par programme, sauf si vous êtes déjà administrateur. Vous devrez donc l'appeler. (Les valeurs par défaut varient en fonction de ce qu'elles ont été configurées, bien que si vous savez que je suppose que vous pouvez rechercher les valeurs par défaut et essayer. Aucune garantie qu'elles n'ont pas changé, bien sûr.)