locked
如何利用AD強制執行「密碼複雜性需求」 RRS feed

  • 問題

  • 已知AD中依不同「組織單位」(群組原則) 增加了不同的Policy.
    其中,為了解決現階段多位user使用之密碼為123456 或 0000 這種密碼,Policy 中增加了「密碼複雜性原則」(Enable)

    但由於user 並沒有手動執行「修改密碼」之動作,所以即使GPO的「密碼複雜性原則」為Enable
    也不會有任何的提示或強制要求修改密碼。

    Q.是否有方式是:「只讓不符合『密碼複雜性原則』的user account」能強制要求改為符合『密碼複雜性原則』條例的方式?
    而不是讓全AD Account ID 全一起改Password.

    且,因為管理者也不可能知道所有網域使用者的「密碼」,也無從用AD的使用者與管理 指定特定帳號下手要求「修改密碼」。

    2013年12月19日 上午 07:17

解答

  • 「只讓不符合『密碼複雜性原則』」這部份就是關鍵了,
    請問要如何知道使用者的密碼有沒有符合複雜度,
    除非能將使用者的密碼反演算做比對,
    但這就已經不可能了,
    所以建議 IT 透過一般行政程序跟全公司發布統一改密碼的時間,
    或者設定多久後到期,讓使用者自行變更密碼。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已提議為解答 AChange 2013年12月20日 上午 07:00
    • 已標示為解答 AChange 2013年12月24日 上午 01:55
    2013年12月19日 上午 07:56
    版主
  • Hi 阿寶

    經過驗證AskaSu前輩的方法是可行的

    建議妳可以試試看

    • 已提議為解答 Kill Apple 2013年12月23日 上午 07:09
    • 已標示為解答 AChange 2013年12月24日 上午 01:55
    2013年12月20日 上午 07:21

所有回覆

  • 「只讓不符合『密碼複雜性原則』」這部份就是關鍵了,
    請問要如何知道使用者的密碼有沒有符合複雜度,
    除非能將使用者的密碼反演算做比對,
    但這就已經不可能了,
    所以建議 IT 透過一般行政程序跟全公司發布統一改密碼的時間,
    或者設定多久後到期,讓使用者自行變更密碼。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已提議為解答 AChange 2013年12月20日 上午 07:00
    • 已標示為解答 AChange 2013年12月24日 上午 01:55
    2013年12月19日 上午 07:56
    版主
  • 假如你的公司只有少許的100人或是以內的話,或許可以使用暗黑的方法來達成,先將AD的NTLM倒出來然後再利用彩虹表來運算,跑出的結果就可以知道哪些使用者不符合複雜密碼,然後再透過AD管理介面將他們的Account勾選下次登入時必須變更密碼,以上的資訊剛好是上半年去上課學到的經驗分享,希望對你有幫助


    小白技術沒關係 金錢的力量 決定服務的高低

    2013年12月19日 上午 10:29
  • Hi 阿寶

    經過驗證AskaSu前輩的方法是可行的

    建議妳可以試試看

    • 已提議為解答 Kill Apple 2013年12月23日 上午 07:09
    • 已標示為解答 AChange 2013年12月24日 上午 01:55
    2013年12月20日 上午 07:21