web-dev-qa-db-fra.com

Comment puis-je connaître la stratégie relative à la complexité du mot de passe?

Un utilisateur tente de changer son mot de passe dans un domaine Windows et celui-ci n'est pas accepté:

Le mot de passe fourni ne répond pas aux exigences de complexité minimale

Comment un utilisateur final peut-il connaître les exigences? (La solution évidente serait de contacter le service informatique, mais disons que ce n'est pas possible)

windowspasswords
29
Siim K

Chaque utilisateur AD peut voir la valeur de l'attribut nommé " pwdProperties ", votre identifiant étant probablement défini sur "DOMAIN_PASSWORD_COMPLEX" (valeur "1", entier).

AdFind peut être utilisé pour récupérer de nombreux attributs relatifs aux mots de passe:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Voici un exemple de ce que vous obtiendrez:

AdFind V01.45.00cpp Joe Richards ([email protected]) Mars 2011

Utilisation du serveur: domain.example.org:389 Répertoire: Windows Server 2008 R2 DN de base: DC = domaine, DC = exemple, DC = org

dn: DC = domaine, DC = exemple, DC = org

lockoutDurée: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLongueur: 7
pwdProperties: 1
pwdHistoryLength: 2

1 objets retournés

14
Shadok

Cette commande intégrée de Windows (utilisez l'invite de commande : cmd.exe) imprime les mêmes détails que l'outil dans answer :

net accounts

Exemple de sortie:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Crédits/source: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

33
David Balažic

Comme il s’agit de AD, il n’existe actuellement qu’un modèle unique de complexité (en soi): le modèle dit 3 sur 4. Il est activé ou désactivé, sauf si vous utilisez un outil tiers tel que Spec Ops pour imposer un autre niveau de complexité. Trois sur quatre signifie que votre mot de passe doit inclure au moins un caractère parmi trois des quatre jeux de caractères possibles:

  1. UPPER CASE
  2. minuscule
  3. Numérique (0-9)
  4. Mots maudits de la bande dessinée (ou caractères spéciaux: !@#$%^&*(*))_+ etc)
3
geoffc