none
パスワードポリシーの複雑性の有効時動作について RRS feed

  • 質問

  • 標記について、ユーザアカウント、パスワードを作成した際に以下の事象を確認しました。

    対象OS:Windows Server 2008R2 EnterpriseおよびStandard

    パスワードポリシー
     パスワードの複雑性:有効

    ユーザ1)
     アカウント名:motto01
     パスワード:Motto123
     結果:設定可能

    ユーザ2)
     アカウント名:motto-sql
     パスワード:Motto123
     結果:設定出来ず

    パスワードの複雑性を有効にした場合に以下の最小要件を満たす必要がありますが

    どちらも、『ユーザのアカウント名およびフルネームに含まれる3文字以上連続する文字列を使用しない。』

    という要件に『otto』がかかると思われるのですが、ユーザ1については設定することが出来ました。

     

      ------------------------------

      ・ユーザのアカウント名およびフルネームに含まれる3文字以上連続する文字列を使用しない。

      ・長さは6文字以上にする。

      ・次の4つのカテゴリのうち3つから文字を使う。

        英大文字(AZ

        英小文字(az

        10進数の数字(09

        アルファベット以外の文字(!$#%など)

      ------------------------------

    調査いただけますようよろしくお願いします。


    Keida Shounosuke
    • 移動 早川里美 2011年3月3日 2:55 トピック違い (移動元:セキュリティ全般)
    • 移動 Jundan Wu 2012年10月3日 17:14 (移動元:Windows Server 2008 R2 全般)
    2011年2月17日 4:39

回答

  • トークンごとのチェックなのでこのような現象が起きるようです。

    詳しくは下記の資料をご覧ください。

    ステップバイステップ ガイド : Windows Server 2003 Active Directory における強力なパスワード ポリシーの強制
    http://technet.microsoft.com/ja-jp/library/cc967051.aspx

    抜粋---

    アカウント名の長さが 3 文字に満たない場合、パスワードが拒否される可能性がかなり高くなるため、このチェックは実行されません。ユーザーのフルネームをチェックする際、一部の文字 (コンマ、ピリオド、ダッシュまたはハイフン、アンダースコア、スペース、シャープ記号、タブ) は、名前を個々のトークンに分割する区切り文字として扱われます。長さが 3 文字以上のトークンごとに、そのトークンがパスワードに含まれるかどうかが検索され、含まれる場合は、パスワードの変更が拒否されます。たとえば、"Erin M. Hagens" という名前は、"Erin"、"M"、"Hagens" という 3 つのトークンに分割されます。2 つ目のトークンは長さが 1 文字しかないため、無視されます。したがって、このユーザーは、パスワードのどこかに "erin" または "hagens" が含まれるパスワードには変更できません。これらのチェックでは、すべて大文字小文字は区別されません。

    ---

    2011年3月4日 10:25
    モデレータ

すべての返信

  • Ktechssol さん、こんにちは。

    こちらのフォーラムは、セキュリティに関する情報を交換をするフォーラムですので、この内容の場合ですと「Windows Server 2008R2 全般」フォーラムの方が回答がつきやすいとお思います。

    2011年3月3日 2:54
  • トークンごとのチェックなのでこのような現象が起きるようです。

    詳しくは下記の資料をご覧ください。

    ステップバイステップ ガイド : Windows Server 2003 Active Directory における強力なパスワード ポリシーの強制
    http://technet.microsoft.com/ja-jp/library/cc967051.aspx

    抜粋---

    アカウント名の長さが 3 文字に満たない場合、パスワードが拒否される可能性がかなり高くなるため、このチェックは実行されません。ユーザーのフルネームをチェックする際、一部の文字 (コンマ、ピリオド、ダッシュまたはハイフン、アンダースコア、スペース、シャープ記号、タブ) は、名前を個々のトークンに分割する区切り文字として扱われます。長さが 3 文字以上のトークンごとに、そのトークンがパスワードに含まれるかどうかが検索され、含まれる場合は、パスワードの変更が拒否されます。たとえば、"Erin M. Hagens" という名前は、"Erin"、"M"、"Hagens" という 3 つのトークンに分割されます。2 つ目のトークンは長さが 1 文字しかないため、無視されます。したがって、このユーザーは、パスワードのどこかに "erin" または "hagens" が含まれるパスワードには変更できません。これらのチェックでは、すべて大文字小文字は区別されません。

    ---

    2011年3月4日 10:25
    モデレータ
  • Chukiさま

    理解できました。トークン毎の部分一致ではなく完全一致でのチェックなのですね。

    回答いただきありがとうございました。


    Ktechssol
    2011年3月7日 7:45