我使用组策略将域中的密码长度从 8 个字符增加到 12 个字符。设置了以下选项的用户帐户无法登录。
User cannot change password
据我所知,此长度更改应该只会影响重置密码或帐户已过期的用户。此更改会立即影响具有用户无法更改密码选项设置但不符合要求?
答案1
仅在更改密码时检查复杂性。通常,这也是域控制器有您的明文密码。
AD 中的用户密码以哈希形式存储,即使在登录时也不会向 DC 透露。当 DC 看不到实际密码时,他们无法评估密码复杂性。
(只有通过 LDAP 的“简单绑定”是一个例外,但这种情况很少见,此时也不会执行任何强制措施。)
客户端没有强制执行密码复杂性,因为它会不一致(例如,Windows 可以强制执行它,但其他各种 Kerberos 实现则不会)。