いつも勉強させて頂いております。
環境
OS:Windows
Server 2008 R2 SP1
Active Directory
早速ですが、パスワードの複雑性を有効にした際の以下2点についての質問です。
1.「3文字以上連続する文字列は使用不可」に該当するパスワードは?
2.
表示名が日本語の場合、フルネームはチェック対象から外れる?
パスワードの複雑性の要件の中に「ユーザーのアカウント名またはフルネームに
含まれる3文字以上連続する文字列を使用しない。」というものがあります。
(グループポリシーの説明欄に記述あり)
例えば、ユーザー名が「123456」でフルネームが「yamada
taro」だった場合、パスワードに「123」や「yam」、「tar」を含むことはできないと理解したつもりでした。
しかし、以下のパスワードを設定できるか検証した結果、3文字以上連続していても問題なく設定できてしまい、困惑しております。
ユーザー名:123456
フルネーム:yamada taro
変更後パスワード:P!ssw0rd123…変更可
P!ssw0rd123456…変更不可
P!ssw0rdyam…変更可
P!ssw0rdyamada…変更不可
P!ssw0rdtar…変更可
P!ssw0rdtaro…変更不可
この結果では、ユーザー名もしくはフルネームのすべてが含まれるパスワードは使用できないものの、「3文字以上連続する文字列は使用不可」は正確な表現ではないのでは?と考察しております。
パスワードの“複雑さの要件”は、いつから間違えていたのか?
また、別件となりますが、フルネームに日本語名が使用されていた場合で検証した結果、以下のようになりました。
ユーザー名:123456
フルネーム:山田
太郎
変更後パスワード:P!ssw0rd123…変更可
P!ssw0rd123456…変更不可
P!ssw0rdyamada…変更可
P!ssw0rdtaro…変更可
この結果では、表示名が日本語の場合、フルネームはチェック対象から外れる模様なのですが、(ユーザー名のすべてがパスワードに含まれている場合のみ拒否される)
この理解で間違いないでしょうか?
何卒よろしくお願い致します。
ここまでに参考にした情報です。
「パスワードの複雑性」の要件
※見出し「ユーザー名を含むパスワードの禁止」を参考にしました。
パスワードポリシーの複雑性の有効時動作について
ステップバイステップ
ガイド : Windows Server 2003 Active Directory
における強力なパスワード
ポリシーの強制
