¿Cómo puedo encontrar la política de complejidad de la contraseña?

31

Un usuario intenta cambiar su contraseña en un dominio de Windows y no se acepta:

La contraseña suministrada no cumple los requisitos mínimos de complejidad.

¿Cómo puede un usuario final averiguar cuáles son los requisitos? (La solución obvia sería contactar a TI, pero digamos que no es posible)

windows passwords active-directory policy Siim K
fuente
Si hay un AD en su lugar, ¿quién lo administra y por qué no pueden ser contactados?
Dave M
2
@Dave: es una pregunta teórica :) Tengo curiosidad por saber si se puede hacer
Siim K
8
No siempre es tan teórico, después de haber tratado de ayudar a un usuario final con este problema exacto cuando el administrador del sistema estaba de vacaciones ... Es un gran defecto de diseño que Windows no le diga al usuario cuáles son los requisitos de complejidad durante el proceso de cambio de contraseña .
Brian Knoblauch

Respuestas:

14

Cada usuario de AD puede ver el valor del atributo llamado " pwdProperties ", su identificación probablemente establecida en "DOMAIN_PASSWORD_COMPLEX" (valor "1", entero).

AdFind se puede usar para recuperar muchos atributos relativos a las contraseñas:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Aquí hay un ejemplo de lo que obtendrá:

AdFind V01.45.00cpp Joe Richards ([email protected]) Marzo de 2011

Uso del servidor: dominio.example.org:389 Directorio: Windows Server 2008 R2 Base DN: DC = dominio, DC = ejemplo, DC = org

dn: DC = dominio, DC = ejemplo, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdProperties: 1
pwdHistoryLength: 2

1 Objetos devueltos

Shadok
fuente
3
Puede encontrar información sobre los requisitos de complejidad aquí: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon
2
No estoy seguro de que esto sea muy útil si el dominio está usando un filtro de contraseña personalizado. msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx
Zoredache
Para una solución sin herramientas de terceros, ¡vea a continuación !
Qw3ry
42

Este comando incorporado de Windows (use el símbolo del sistema : cmd.exe) imprime los mismos detalles que la herramienta en respuesta :

net accounts

Salida de ejemplo:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Créditos / fuente: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

David Balažic
fuente
Eres el verdadero MVP. technet.microsoft.com/en-us/library/bb490698.aspx
HackSlash el
77
Debe agregar que "/ dominio" es necesario en un entorno controlado por AD: "cuentas / dominio netos"
HackSlash
@HackSlash ¿Qué quieres decir? Mi estación de trabajo es miembro de un dominio y el net accountscomando simple imprime toda la información anterior sin problemas.
David Balažic
Cuando usa el /domain, ve este mensaje:The request will be processed at a domain controller for domain
HackSlash
4

Como es AD, actualmente solo hay un patrón de complejidad (per se) disponible: el llamado patrón 3 de 4. Está activado o desactivado, a menos que utilice una herramienta de terceros como Spec Ops para imponer algún otro nivel de complejidad. Tres de cuatro significa que su contraseña debe incluir al menos un carácter de tres de los 4 conjuntos de caracteres posibles:

  1. CASO SUPERIOR
  2. minúscula
  3. Numérico (0-9)
  4. Palabras de maldición de cómic (también conocidos como caracteres especiales: !@#$%^&*(*))_+etc.)
geoffc
fuente
1
¿De qué versión de Windows estás hablando? Hay seis parámetros configurables en la política de contraseña predeterminada proporcionada por AD.
HackSlash el
El espacio también se considera un personaje especial.
Brianary
-4

No creo, salvo intentos de fuerza bruta, que haya alguna forma programática de hacer esto a menos que ya seas un administrador. Entonces, tendrás que llamarlo. (Los valores predeterminados varían según lo que hayan configurado, aunque si sabe que supongo que podría buscar los valores predeterminados e intentarlo. No hay garantía de que no lo hayan cambiado, por supuesto).

Shinrai
fuente