Назад | Перейти на главную страницу

Пользователь не может изменить пароль - групповая политика Active Directory

Я видел, как возникала эта проблема, но, похоже, нет ответов. Когда пользователь пытается изменить свой пароль, используя control-alt-delete -> change password, он получает сообщение «Невозможно обновить пароль. Значение, указанное для нового пароля, не соответствует требованиям к длине, сложности или истории. домен ". Мы даже пробовали использовать в качестве тестов очень длинные сложные строки, что также генерирует сообщение об ошибке.

В AD U&C я могу принудительно изменить пароль учетной записи при следующем входе в систему, что успешно работает.

Применимый параметр безопасности применяется на уровне домена в GPO политики домена по умолчанию. Когда я запускаю gpupdate /force а затем просмотреть RSOP на одной из рабочих станций, я могу увидеть настройки ниже (которые согласуются с GPO):

Я провел dcdiag против нашего округа Колумбия. Они проходят все испытания. Есть предложения о том, почему может возникнуть эта проблема, или как ее исправить?

Я вижу, вы запустили RSOP на рабочей станции. Это повлияет на локальные учетные записи, но если изменяемый пароль является учетной записью домена, он будет проверяться на соответствие RSOP на контроллере домена, обрабатывающем изменение пароля, если я помню.

Кроме того, можно писать сторонние плагины, которые проверяют сложность пароля с помощью Windows API. Hitachi ID Systems публикует один такой компонент (который запрашивает удаленный сервер, чтобы проверить, соответствует ли пароль установленным там правилам); Когда такой плагин отклоняет пароль, он выглядит идентично тому, что происходит, когда встроенное в Windows правило сложности 3 из 4 его отклоняет. Вы должны выяснить, есть ли такие вещи в вашей среде (они будут установлены на контроллерах домена), и если они есть, либо определить, что с ними не так, либо избавиться от них.

Тем не менее, поскольку принудительная смена пароля решает проблему, вероятно, проблема в том, что применяется правило минимального возраста. Проверьте RSOP на DC для этого.

Похоже, что ваша политика домена по умолчанию требует минимальной сложности пароля - вам, вероятно, потребуется отредактировать групповую политику, если вы хотите изменить это поведение.

От Microsoft:

"Пароль должен соответствовать требованиям сложности

Этот параметр политики проверяет все новые пароли, чтобы убедиться, что они соответствуют основным требованиям к надежным паролям. По умолчанию для этого параметра политики в Windows Server 2008 задано значение «Отключено», но в домене Windows Server 2008 для обеих сред, описанных в этом руководстве, установлено значение «Включено».

Если этот параметр политики включен, пользователи должны создавать надежные пароли в соответствии со следующими минимальными требованиями:

Пароли не могут содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа.

Пароли должны состоять не менее чем из шести символов.

Пароли должны содержать символы из трех из следующих четырех категорий:

Заглавные буквы английского алфавита (от A до Z).

Английские строчные буквы (от a до z).

Неалфавитные символы (например,!, $, #,%).

Каждый дополнительный символ в пароле экспоненциально увеличивает его сложность.

Например, семизначный буквенный пароль, состоящий только из строчных букв, будет иметь 267 (примерно 8 x 109 или 8 миллиардов) возможных комбинаций.

При 1000000 попыток в секунду (возможность многих утилит для взлома паролей) взлом такого пароля займет всего 133 минуты.

Семизначный буквенный пароль с чувствительностью к регистру состоит из 527 комбинаций.

Семизначный буквенно-цифровой пароль с учетом регистра без знаков препинания состоит из 627 комбинаций.

Пароль из восьми символов имеет 268 (или 2 x 1011) возможных комбинаций. Хотя это может показаться большим числом, при 1000000 попыток в секунду потребуется всего 59 часов, чтобы попробовать все возможные пароли.

Помните, что это время будет значительно увеличиваться для паролей, в которых используются символы ALT и другие специальные символы клавиатуры, такие как "!" или "@".

Правильное использование настроек пароля помогает предотвратить успех атаки методом перебора ".

Источник: http://technet.microsoft.com/en-us/library/cc264456.aspx

Убедитесь, что для данной учетной записи пользователя не создается и не применяется детализированная политика паролей (если функциональный уровень - 2008 или новее). Проверьте атрибут msDS-resultantPSO для пользователя, он содержит примененную детальную политику паролей для соответствующего пользователя. msDS-resultantPSO - это сконструированный атрибут. Если атрибут недоступен и недоступен, применяется политика домена по умолчанию.