Windows Server 2008 禁用密码复杂性要求

Windows Server 2008 禁用密码复杂性要求

我正在使用 Server 2008 R2 域控制器,尝试解决一个错误,该错误导致密码复杂性要求似乎已启用,即使在组策略中已禁用它们。一些注意事项:

  • 我正在域级别更改密码策略
  • 我已经设置了无密码期限、将长度要求设置为较低的数字并禁用了复杂性要求,但我仍然需要提交复杂的密码
  • 本地 secpol 设置相同,尽管我不认为应该考虑它们
  • 我已使用 /force 选项运行 gpupdate 并重新启动系统
  • RSOP 表示应该禁用复杂性要求。

我不确定我的 GPO 是否未被应用(尽管 RSOP 说它被应用了),或者是否有另一个启用的设置(我的所有搜索都没有表明这一点)。

任何帮助,将不胜感激。

编辑:另一件奇怪的事情:我启动了 Active Directory 还原模式,尝试更改本地管理员帐户的密码,并且这些本地帐户也有复杂性要求!从 ADRS 运行 secpol.msc 显示复杂性不应该是必需的,所以我不认为这是 Active Directory 问题或 Windows 安全策略问题。也许有什么东西被损坏了?不幸的是,似乎没有一种简单的方法可以准确地看到 SAM(或 LSASS?)正在查看什么来确定是否需要复杂的密码。没有任何意义。

答案1

检查您是否安装了自定义密码过滤器。

Key: HKLM\System\CurrentControlSet\Control\LSA  
Value: Notification Packages  

通常,当未安装自定义密码过滤器时,它将具有:scecli rassfm

安装并注册密码过滤器 DLL
https://msdn.microsoft.com/en-us/library/windows/desktop/ms721766%28v=vs.85%29.aspx

答案2

基于域的帐户策略是从默认域 GPO 应用的。如果您在另一个 GPO 中配置它们,则该 GPO 必须在域级别链接,并且必须具有比默认域策略更高的优先级。

由于帐户策略是计算机配置设置,因此它们会影响受设置影响的计算机上的本地安全帐户数据库,在域中,该数据库是每个域控制器上的 AD 数据库。因此,当您对基于域的帐户策略进行更改时,您需要刷新域控制器上的组策略,然后才能看到它们对域用户的影响。

相关内容