我们最近在公司中启用了密码复杂性要求,我注意到已经有复杂密码的用户不必被迫更改密码,但其他人都被要求。
现在的问题是,如果可逆encryption未启用,AD如何确认密码的复杂性? 我能想到的唯一方法是设置一个策略/标记来检查用户尝试login时的密码复杂性客户端。如果“客户端机器”注意到使用的密码有效但不复杂,启动密码更改程序。
任何人都可以证实或者说明这一点吗?
PS。 在我们的情况下,AD基础架构是基于Windows Server 2003的,但是如果在2008 / R2信息上完成的方式有所不同,那也是值得赞赏的。
据微软称,密码的复杂性要求是在密码更改或创build时执行的 ,而不是login。 所以,我想你的问题的答案是,它不检查login时的密码复杂性,甚至无法检查login时的密码复杂性。
这些密码较弱的用户是否有可能因为其他原因被迫更改密码?
首先我想到的是,你的域中的新密码策略也可能包含密码过期,这会影响从一开始就使用password1作为密码的用户,但是更负责任的用户“复杂”密码也可能有良好的习惯,并定期更改密码,因此不会被提示更改密码。
无论如何,Technet论坛也有类似的 问题 ,而且那里的答案也是强制执行密码的复杂性不会强迫使用弱密码的用户自己更改密码。 他们使用与我作为源代码链接的Technet文章相同的价值,尽pipe我对Active Directory的所有经验都与该文章一致。 如果你想强制执行密码复杂性,你可能需要添encryption码过期和/或强制用户在下次login时更改密码,否则他们将继续使用它们始终拥有的相同的3字符密码,因为没有任何东西强迫他们改变它。