我正在使用 Server 2008 R2 域控制器,尝试解决一个错误,该错误导致密码复杂性要求似乎已启用,即使在组策略中已禁用它们。一些注意事项:
- 我正在域级别更改密码策略
- 我已经设置了无密码期限、将长度要求设置为较低的数字并禁用了复杂性要求,但我仍然需要提交复杂的密码
- 本地 secpol 设置相同,尽管我不认为应该考虑它们
- 我已使用 /force 选项运行 gpupdate 并重新启动系统
- RSOP 表示应该禁用复杂性要求。
我不确定我的 GPO 是否未被应用(尽管 RSOP 说它被应用了),或者是否有另一个启用的设置(我的所有搜索都没有表明这一点)。
任何帮助,将不胜感激。
编辑:另一件奇怪的事情:我启动了 Active Directory 还原模式,尝试更改本地管理员帐户的密码,并且这些本地帐户也有复杂性要求!从 ADRS 运行 secpol.msc 显示复杂性不应该是必需的,所以我不认为这是 Active Directory 问题或 Windows 安全策略问题。也许有什么东西被损坏了?不幸的是,似乎没有一种简单的方法可以准确地看到 SAM(或 LSASS?)正在查看什么来确定是否需要复杂的密码。没有任何意义。
答案1
检查您是否安装了自定义密码过滤器。
Key: HKLM\System\CurrentControlSet\Control\LSA
Value: Notification Packages
通常,当未安装自定义密码过滤器时,它将具有:scecli rassfm
安装并注册密码过滤器 DLL
https://msdn.microsoft.com/en-us/library/windows/desktop/ms721766%28v=vs.85%29.aspx
答案2
基于域的帐户策略是从默认域 GPO 应用的。如果您在另一个 GPO 中配置它们,则该 GPO 必须在域级别链接,并且必须具有比默认域策略更高的优先级。
由于帐户策略是计算机配置设置,因此它们会影响受设置影响的计算机上的本地安全帐户数据库,在域中,该数据库是每个域控制器上的 AD 数据库。因此,当您对基于域的帐户策略进行更改时,您需要刷新域控制器上的组策略,然后才能看到它们对域用户的影响。