Я последовал за эта статья Microsoft для обеспечения соблюдения надежных паролей пользователей домена. До того, как я предпринял это действие, некоторые пользователи домена использовали простые пароли (например, 123456). После того, как я применил политику надежных паролей через GPO, я подтвердил, что она вступает в силу, потому что изменение пароля с помощью iisadmpwd сбой метода с сообщением об ошибке «Либо пароль слишком короткий, либо не соблюдены ограничения на уникальность пароля» на веб-странице.
Однако простые пароли этих пользователей все еще действительны, то есть серверное программное обеспечение, которое выполняет интеграцию с Windows AD или LDAP для проверки личности пользователя, по-прежнему принимает старые простые пароли или, что более технически, Windows API LogonUser все еще принимают старые простые пароли. Мой вопрос: как я могу полностью аннулировать эти простые пароли, чтобы заставить этих упрямых пользователей внести изменения (позвонить администратору AD для сброса пароля и т. Д.)?
Я думаю, что это частый случай, но мне трудно найти ответ, просто погуглил.
Распространенным решением является принудительный сброс пароля для всех пользователей при следующем входе в систему.
Используйте подход Стефана: принудительно смените пароль при следующем входе в систему, а затем через неделю запросите AD для всех, у кого этот флаг не установлен. Затем отключите эти учетные записи и дождитесь вызова службы поддержки, чтобы заставить их изменить.
Или после 1 недели запроса AD pwdlastset как показано здесь: Powershell: как запросить pwdLastSet и понять его смысл? и отключите или заранее позвоните тем пользователям, которые не устанавливали пароль в течение последних 7 дней, и поработайте с ними, чтобы изменить пароли их учетных записей.
Если не считать этого, я не знаю об инструменте, который может запрашивать «простые пароли», но, возможно, кто-то другой знает.
Это зависит от того, насколько этичным вы хотите быть, и что ваша политика ИТ-безопасности говорит о паролях и их видимости для ИТ-персонала.
Одно из решений, которое может не одобряться сообществом, - это «проверять» (кхм!) Пароли ваших пользователей на надежность, а затем информировать тех, кто явно не придерживается вашего нового стандарта.
Для «аудита» рекомендую Джон Потрошитель. Как я уже сказал, это зависит от того, как это оставить с точки зрения политики / этики.