Windows AD: Trouvez des counts d'users par longueur de mot de passe

Je me prépare à modifier la politique des exigences de mot de passe, et je souhaite find tous les users que cela affectera. Existe-t-il un moyen d'énumérer toutes les counts AD avec un mot de passe avec des caractères x? Sur la même note, après la modification de la politique, comment ces counts se comportent-ils? Sera-t-il incité à modifier leur mot de passe pour le mettre en conformité?

2 Solutions collect form web for “Windows AD: Trouvez des counts d'users par longueur de mot de passe”

Je peux répondre à la deuxième partie: lorsque vous modifiez la politique de mot de passe, cela n'invalide pas les passwords existants. Les passwords doivent uniquement être conforms à la nouvelle stratégie la prochaine fois qu'ils sont créés, réinitialisés ou modifiés.

Une chose que vous pourriez faire est de regarder lorsque les passwords de l'user expirent à côté de voir si vous allez être inondé d'appels lorsque le mot de passe de chacun expire la même semaine, ou si les modifications de mot de passe seront étalées et vous pouvez saisir les questions à un time.

Si vous ne le faites pas déjà, cela nous a beaucoup aidés à envoyer un e-mail (ou quoi que ce soit) à tout le personnel expliquant tout le plus simplement possible et en proposant des suggestions pour choisir des passwords conforms aux nouvelles exigences. En tant que note latérale légèrement liée, AD prend en charge les espaces, ce qui signifie que même si vous configurez la complexité et une grande longueur minimale, un mot de passe valide peut être une phrase simple, comme ceci:

Il s'agit d'un mot de passe complexe et valide dans Windows Active Directory.

Voir aussi ceci .

Je peux répondre à la première partie.

Les passwords dans Active Directory sont par hasard par défaut. Les algorithms Hashing créent des résultats de la même longueur (128 bits / 16 octets, dans ce cas), quelle que soit la longueur de l'input. Cela signifie qu'il est impossible de savoir à l'avance quels passwords seront trop courts * , car datatables de mot de passe stockées dans Active Directory ont la même longueur et ne sont pas réversibles. La seule chose que vous pouvez savoir, c'est qu'ils ont répondu à toute politique de mot de passe existant au moment où ils ont été modifiés pour la dernière fois.

En un sens, cela répond également à la deuxième partie. Même Active Directory ne sait pas lequel des passwords qu'il stocke fait ou ne répond pas à la nouvelle politique, et il est donc impossible qu'il expire automatiquement les passwords invalides.


* Il est techniquement possible d'accéder au process de changement de mot de passe Active Directory. Si vous utilisez Google Apps pour mon domaine, par exemple, Google fournit un outil de synchronisation de mot de passe facultatif qui intercepte le mot de passe avant que Active Directory ne le supprime et définisse le count Google correspondant pour utiliser le même mot de passe. IIRC, CloudPath XPressConnect s'accroche également à cette fonctionnalité. Par conséquent, si vous le désirez vraiment, vous pouvez créer votre propre plug-in pour save des informations de complexité pertinentes sur le mot de passe chaque fois qu'il est modifié. Cependant, Active Directory n'inscrit pas ces informations par défaut, et il est probable qu'il soit en retard pour tout changement de politique planifié existant.

  • Bloquer le nom d'user du domaine
  • AD DC - Erreur 4625 Statut 0x80090308
  • Interrogation pour les users AD désactivés dans PowerShell
  • Erreur "Il n'y a actuellement aucun server d'ouverture de session disponible pour traiter la request d'ouverture de session"
  • Convention de nommage pour les objects dans le active directory
  • Administrateur local de l'annuaire Active Directory SBS
  • Jenkins / Hudson - search du groupe LDAP * ne fonctionne pas
  • AD Topologie - One Forest 3 Domaines
  • Ajout de SQL Server 2008 R2 au domaine
  • Comment intégrer les ordinateurs dans un domaine Active Directory dans un réseau non approuvé?
  • Comment puis-je supprimer cet object informatique Orphan Active Directory (de preference avec PowerShell)?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.