我们最近在公司启用了密码复杂性要求,我注意到已经拥有复杂密码的用户并没有被迫更改密码,但其他所有人都必须这样做。
现在的问题是,当未启用可逆加密时,AD 如何确认密码复杂性?我能想到的唯一方法是设置一个策略/标志,在用户尝试登录时在客户端检查密码复杂性。如果“客户端计算机”注意到所使用的密码有效但不复杂,它将启动密码更改过程。
有人可以证实或进一步阐明这一点吗?
PS. 在我们的案例中,AD 基础架构基于 Windows Server 2003,但如果在 2008/R2 上实现方式有任何差异,也欢迎提供相关信息。
答案1
据微软称,密码复杂性要求在密码更改或创建时强制执行,而不是在登录时。所以,我猜你的问题的答案是它在登录时不检查密码复杂性,甚至在登录时也无法检查密码复杂性。
这些密码较弱的用户是否可能因为其他原因被迫更改密码?
我首先想到的是,您域中的新密码策略可能还包含密码过期功能,这将影响password1
从一开始就使用密码的用户,但更负责任的用户(拥有“复杂”密码的用户也可能有良好的习惯并定期更改密码,因此不会被提示更改密码。
无论如何,Technet 论坛也有相似的 问题,那里的答案也是,强制密码复杂性不会强制使用弱密码的用户更改密码。他们使用我链接的同一篇 Technet 文章作为来源,尽管我对 Active Directory 的所有经验都与该文章一致。如果您想强制密码复杂性,您可能应该添加密码到期时间和/或强制用户在下次登录时更改密码,否则他们将继续使用他们一直使用的相同的 3 个字符密码,因为没有什么可以强迫他们更改它。