我遵循这篇微软文章来执行强大的域用户密码。 在采取这一行动之前,一些域用户使用简单的密码(如123456)。 通过GPO强制实施密码策略后,我确认这是生效的,因为使用iisadmpwd方法修改密码失败,错误信息“密码太短或密码唯一性限制未被满足”。
但是,这些用户的简单密码仍然有效,即执行Windows AD集成或LDAP集成以validation用户身份的服务器软件仍然接受旧的简单密码,或者更为技术上Windows API LogonUser仍接受旧的简单密码。 我的问题是:我怎样才能彻底使这些简单的密码无效,以便我可以强迫这些顽固的用户进行更改(致电ADpipe理员进行密码重置等)?
我认为这是一个普遍的情况,但似乎很难find一个只是谷歌search的答案。
使用Stephane的方法在下次login时强制更改密码,然后在1周后查询AD,以便没有设置该标志的人员进行查询。 然后禁用这些帐户,并等待帮助台呼叫强制他们改变。
或者在1周后查询AD pwdlastset ,如下所示: Powershell:如何查询pwdLastSet并使其有意义? 并禁用或主动拨打最近7天内没有设置密码的用户,并与他们一起修改账号密码。
简而言之,我不知道一个工具,可以查询“简单的密码”,但也许别人是。
常见的问题是在下次login时强制所有用户重置密码
这取决于您希望成为的道德标准,以及您的IT安全策略对于IT员工的密码及其可见性所说的内容。
一个解决scheme,可能会被社区所诟病的是“审核”你的用户的密码,然后通知那些显然不符合你的新标准的用户。
对于“审计”,我会推荐John The Ripper 。 就像我说的那样,这取决于这从政策/道德的angular度出发。