Я готовлюсь изменить политику требований к паролям и хочу найти всех пользователей, на которых это повлияет. Есть ли способ перечислить все учетные записи AD с паролем из x символов? В то же время, как будут себя вести эти учетные записи после изменения политики? Будет ли им предложено сменить пароль, чтобы привести его в соответствие?
Я могу ответить на вторую часть: когда вы меняете политику паролей, это не аннулирует существующие пароли. Пароли должны будут соответствовать новой политике только в следующий раз, когда они будут созданы, сброшены или изменены.
Одна вещь, которую вы могли бы сделать, - это посмотреть, когда истекает срок действия паролей пользователей, чтобы увидеть, будут ли вас завалены звонками, когда истекает срок действия всех паролей на той же неделе, или будут ли изменения пароля распространяться, и вы можете задавать вопросы по одному. время.
Если вы еще этого не сделали, нам очень помогло разослать электронное письмо (или что-то еще) всему персоналу, объясняя все как можно проще и давая предложения по выбору паролей, соответствующих новым требованиям. В качестве немного связанного примечания, AD поддерживает пробелы, а это означает, что даже если вы настроите сложность и большую минимальную длину, действительный пароль может быть простым предложением, например:
Это действительный сложный пароль в Windows Active Directory.
Также см этот.
Могу ответить на первую часть.
Пароли в Active Directory хешированный по умолчанию. Алгоритмы хеширования создают результаты одинаковой длины (в данном случае 128 бит / 16 байт), независимо от длины ввода. Это означает, что невозможно заранее узнать, какие пароли будут слишком короткими.*, поскольку пароли, хранящиеся в Active Directory, имеют одинаковую длину и необратимы. Единственное, что вы можете знать, это то, что они соответствовали той политике паролей, которая существовала на момент их последнего изменения.
В некотором смысле это также отвечает на вторую часть. Даже Active Directory не может знать, какой из хранимых паролей соответствует или не соответствует новой политике, поэтому для него невозможно автоматически истечь срок действия недействительных паролей.
* Технически возможно подключиться к процессу смены пароля Active Directory. Например, если вы используете Google Apps для моего домена, Google предоставляет дополнительный инструмент для синхронизации паролей, который перехватывает пароль до того, как Active Directory хеширует его, и устанавливает для соответствующей учетной записи Google использование того же пароля. IIRC, CloudPath XPressConnect также подключается к этой функции. Поэтому, если вы действительно этого хотите, вы можете создать свой собственный плагин для записи только важной информации о сложности пароля при каждом его изменении. Однако Active Directory не записывает эту информацию по умолчанию, и поэтому, вероятно, будет поздно для любого существующего запланированного изменения политики.