Политика паролей в Active Directory - деактивация сложности без эффекта
В моем домене Samba Active Directory я хочу разрешить использование длинных паролей (кодовая фраза), основанных только на маленьких заглавных буквах и специальных символах, т.е.не требуются большие заглавные буквы и цифры.
Для этого я создал новый объект групповой политики домена для аутентифицированных пользователей, в котором отключил проверку сложности (Password must meet password complexity requirement) и вместо этого увеличили минимальную длину пароля до 10.
Я побежал gpupdate чтобы убедиться, что политика была распространена на компьютер, на котором я сижу. К сожалению, это не дало ожидаемого эффекта, я все еще получаю сообщение об ошибке, что мой новый пароль не соответствует политике паролей.
Быстрая проверка с помощью gpresult /v раскрывает следующую информацию:
Account Policies
----------------
GPO: Default Domain Policy
Policy: MaximumPasswordAge
Computer Setting: 180
GPO: Default Domain Policy
Policy: MinimumPasswordAge
Computer Setting: 15
GPO: Default Domain Policy
Policy: MinimumPasswordLength
Computer Setting: 10
Security Options
----------------
GPO: Default Domain Policy
Policy: PasswordComplexity
Computer Setting: Not Enabled
Что пошло не так?
Обновление: поскольку несколько комментаторов предложили мне сделать это через политику по умолчанию, я сделал это. Результат остается точно таким же. Я прилагаю скриншот политики, чтобы не сомневаться.
А вот скриншот локальной политики безопасности, который подтверждает, что объект групповой политики действительно был применен. Это выглядит нормально, но я все еще могу создавать 8-значные пароли для пользователей домена, и они должны включать в себя заглавные буквы и число.
Хорошо, это застало меня врасплох. Хотя домен Samba Active Directory обычно можно полностью настроить без каких-либо проблем с использованием RSAT, похоже, что политика паролей - одна из тех немногих вещей, где это не работает, или, по крайней мере, не полностью. Решение состоит в том, чтобы отключить сложность непосредственно на сервере Samba, используя
# samba-tool domain passwordsettings set --complexity=off
Я изначально не заявлял, что использую Samba, поэтому другие ответы и комментарии полностью действительны для домена только от Microsoft. Я адаптирую свой вопрос, чтобы отразить использование Samba.
Обновление для уточнения: Как отметил Джо, объект групповой политики для настроек пароля применяется к самому контроллеру домена, а не к клиентам, как в случае с обычными объектами групповой политики. И это причина, по которой этот объект групповой политики не мог действовать на Samba DC. Samba может только обслуживать объекты групповой политики, но не применять их к себе.
Игнорируя FGPP, может быть только одна политика паролей домена. Это по умолчанию определено в GPO политики домена по умолчанию. Если вы хотите использовать другой объект групповой политики политики паролей, вам необходимо связать его с доменом и назначить ему более высокий приоритет, чем объекту групповой политики политики домена по умолчанию. Я подозреваю, что в этом и заключается ваша проблема.
РЕДАКТИРОВАТЬ:
Следует понимать, что политика паролей влияет на местный база данных учетных записей безопасности. Это означает, что когда вы смотрите на настройки на рядовом компьютере, вы смотрите на настройки, которые применяются к местный база данных учетных записей безопасности на этом компьютере-члене и повлияет на местный учетные записи пользователей на этом рядовом компьютере. Для пользователей Active Directory местный База данных учетных записей безопасности - это база данных Active Directory, которая хранится на контроллерах домена. Если вы хотите узнать, что такое политика паролей для домена, вам необходимо запустить мастер результатов групповой политики для контроллера домена, а не для рядового компьютера. Запустите это и опубликуйте свои результаты в своем вопросе.