我跟着这篇微软文章强制实施强域用户密码。在我采取此操作之前,一些域用户使用简单密码(如 123456)。在我通过 GPO 强制实施强密码策略后,我确认它已生效,因为使用iisadmpwd方法失败,网页上显示错误消息“密码太短或未满足密码唯一性限制”。
但是,那些用户的简单密码仍然有效,也就是说,进行 Windows AD 集成或 LDAP 集成来验证用户身份的服务器软件仍然接受旧的简单密码,或者更具体地说,Windows APILogonUser仍然接受旧的简单密码。 我的问题是:我怎样才能彻底使这些简单的密码无效,以便我可以强制那些固执的用户做出更改(致电 AD 管理员重置密码等)?
我认为这是一个常见的情况,但仅通过谷歌搜索似乎很难找到答案。
答案1
使用 Stephane 的方法在下次登录时强制更改密码,然后在 1 周后查询 AD 中未设置该标志的任何人。然后禁用这些帐户并等待帮助台呼叫以强制他们更改。
或者在1周后查询AD,pwdlastset如下所示:Powershell:如何查询 pwdLastSet 并使其有意义?并禁用或主动致电那些过去7天没有设置密码的用户并配合他们更改账户密码。
除此之外,我不知道有哪个工具可以查询“简单密码”,但也许其他人知道。
答案2
常见的解决方案是强制所有用户在下次登录时重置密码
答案3
这取决于您想要的道德水平,以及您的 IT 安全政策对密码及其对 IT 员工的可见性有何规定。
一个解决方案,但它可能会被社区所反对,那就是“审核”(咳咳!)用户的密码强度,然后通知那些明显不遵守新标准的用户。
对于“审计”,我建议开膛手约翰就像我说的,这取决于从政策/道德的角度看这会给你带来什么影响。