设置为“用户不能修改密码”的AD用户,修改密码复杂度后还能登录吗?

设置为“用户不能修改密码”的AD用户,修改密码复杂度后还能登录吗?

我使用组策略将域中的密码长度从 8 个字符增加到 12 个字符。设置了以下选项的用户帐户无法登录。

User cannot change password

据我所知,此长度更改应该只会影响重置密码或帐户已过期的用户。此更改会立即影响具有用户无法更改密码选项设置但不符合要求?

答案1

仅在更改密码时检查复杂性。通常,这也是域控制器您的明文密码。

AD 中的用户密码以哈希形式存储,即使在登录时也不会向 DC 透露。当 DC 看不到实际密码时,他们无法评估密码复杂性。

(只有通过 LDAP 的“简单绑定”是一个例外,但这种情况很少见,此时也不会执行任何强制措施。)

客户端没有强制执行密码复杂性,因为它会不一致(例如,Windows 可以强制执行它,但其他各种 Kerberos 实现则不会)。

相关内容