我已经看到这个问题出现,但没有答案似乎适用。 当用户尝试使用control-alt-delete – >更改密码来更改密码时,他们会收到“无法更新密码。为新密码提供的值不符合长度,复杂性或历史要求领域“。 我们甚至尝试了非常长的复杂的string作为testing,这也产生了错误信息。
在AD U&C中,我可以强制在下次login时更改帐户密码,这可以成功运行。
适用的安全设置应用于默认域策略GPO中的域级别。 当我运行gpupdate /force ,然后在其中一个工作站上查看RSOP时,可以看到下面的设置(与GPO一致):
我已经对我们的DC运行了一个dcdiag 。 他们通过了所有testing。 有关为什么可能会发生此问题的任何build议,或如何补救?
看来您的默认域策略正在执行最低密码复杂性 – 如果您想要更改此行为,您可能需要编辑组策略。
来自微软:
“密码必须符合复杂性要求
此策略设置会检查所有新密码,以确保它们符合强密码的基本要求。 默认情况下,Windows Server 2008中此策略设置的值被configuration为“禁用”,但在本指南中描述的两种环境中,它都设置为在Windows Server 2008域中启用。
启用此策略设置后,用户必须创build强密码才能满足以下最低要求:
密码不能包含超过两个连续字符的用户的帐户名称或部分用户的全名。
密码必须至less有六个字符的长度。
密码必须包含以下四个类别中的三个字符:
英文大写字母(A到Z)。
英文小写字母(a到z)。
非字母字符(例如,!,$,#,%)。
密码中的每个附加字符按指数级增加其复杂性。
例如,七个字符,全部小写字母密码将有267个(大约8×109或80亿个)可能的组合。
每秒100万次尝试(可以使用许多密码破解工具),只需要133分钟即可破解密码。
具有大小写敏感度的七个字符的字母密码有527个组合。
七个字符的不区分大小写的字母数字密码有627个组合。
八个字符的密码有268个(或2×1,011)个可能的组合。 虽然这似乎是一个很大的数字,每秒100万次尝试只需要59个小时来尝试所有可能的密码。
请记住,这些时间将显着增加使用ALT字符和其他特殊键盘字符(如“!”)的密码 要么 ”@”。
正确使用密码设置有助于防止powershell攻击的成功。“
资料来源: http : //technet.microsoft.com/en-us/library/cc264456.aspx
我看到你已经在工作站上运行了RSOP。 这将影响本地帐户,但是如果更改的密码是一个域帐户,则会根据域控制器上的RSOP进行validation,处理密码更改(如果我记得的话)。
另外,可以使用Windows API编写validation密码复杂性的第三方插件。 Hitachi ID Systems发布了一个这样的组件(它查询远程服务器以检查密码是否符合那里规定的规则); 当这样的插件拒绝密码时,它看起来与Windows内置的3-of-4复杂性规则拒绝它时发生的情况相同。 你应该调查你的环境中是否有这样的东西(他们会安装在区议会),如果是的话,要么确定他们有什么问题,要么把他们除掉。
也就是说,由于强制密码更改可以解决问题,因此问题可能是最小年龄规则正在被应用。 检查DC上的RSOP。
确认没有为该特定用户帐户创build或应用细粒度的密码策略(如果function级别为2008或更高版本)。 检查用户的msDS-resultingPSO属性,它包含适用于相应用户的细粒度密码策略。 msDS-resultingPSO是一个构造的属性。 如果该属性不可用,则应用默认域策略。