Windows AD:按密码长度查找用户帐户

Windows AD:按密码长度查找用户帐户

我正准备更改密码要求策略,我想找到所有会受到影响的用户。有没有办法枚举所有密码包含 x 个字符的 AD 帐户?同样,在策略更改后,这些帐户将如何表现?是否会提示他们更改密码以使其符合要求?

答案1

我可以回答第二部分:更改密码策略不会使现有密码无效。下次创建、重置或更改密码时,密码只需符合新策略即可。

您可以做的一件事是查看用户的密码何时到期,看看当每个人的密码在同一周内到期时,您是否会接到大量电话,或者密码更改是否会分散,您可以一次回答一个问题。

如果您还没有这样做,那么向所有员工发送电子邮件(或其他方式)对我们很有帮助,尽可能简单地解释所有内容,并提供选择符合新要求的密码的建议。作为稍微相关的旁注,AD 支持空格,这意味着即使您配置了复杂性和较大的最小长度,有效密码也可以是一个简单的句子,如下所示:

这是 Windows Active Directory 中有效且复杂的密码。

另请参阅

答案2

我可以回答第一部分。

Active Directory 中的密码是哈希默认情况下。无论输入的长度如何,哈希算法创建的结果都是相同长度(在本例中为 128 位/16 字节)。这意味着不可能预先知道哪些密码太短*,因为存储在 Active Directory 中的密码数据都是相同长度且不可逆的。您唯一能知道的是,它们符合上次更改时存在的任何密码策略。

从某种意义上说,这也回答了第二部分。即使是 Active Directory 也无法知道它存储的哪些密码符合或不符合新策略,因此它不可能自动使无效密码过期。


* 从技术上讲,可以接入 Active Directory 密码更改过程。例如,如果您为我的域使用 Google Apps,Google 会提供一个可选的密码同步工具,该工具会在 Active Directory 对密码进行哈希处理并将相应的 Google 帐户设置为使用相同密码之前拦截密码。如果我没记错的话,CloudPath XPressConnect 也接入了此功能。因此,如果您真的想要,您可以构建自己的插件,每次更改密码时仅记录与密码相关的复杂性信息。但是,Active Directory 默认不记录此信息,因此对于任何现有的计划策略更改来说,它可能会迟到。

相关内容