Windows AD: localizar contas de usuário por comprimento de senha

Navegue suas respostas
3

Estou me preparando para alterar a política de requisitos de senha e quero encontrar todos os usuários que isso afetará. Existe uma maneira de enumerar todas as contas do AD com uma senha com caracteres x? Na mesma nota, após a alteração da política, como essas contas se comportarão? Eles serão solicitados a alterar sua senha para que ela fique em conformidade?

    
por Rex 07.07.2015 / 18:06

2 respostas

3

Eu posso responder a segunda parte: Quando você altera a política de senha, ela não invalida as senhas existentes. As senhas só terão que estar em conformidade com a nova política na próxima vez que forem criadas, redefinidas ou alteradas.

Uma coisa que você pode fazer é verificar quando as senhas do usuário estão expirando para ver se você será inundado com as chamadas quando a senha de todos expirar na mesma semana ou se as alterações de senha serão distribuídas e você poderá responder às perguntas. um de cada vez.

Se você ainda não está fazendo isso, nos ajudou muito a enviar um e-mail (ou qualquer outro) para todos os funcionários, explicando tudo da maneira mais simples possível e dando sugestões para a escolha de senhas que atendam aos novos requisitos. Como uma nota lateral ligeiramente relacionada, o AD suporta espaços, o que significa que mesmo se você configurar complexidade e um comprimento mínimo grande, uma senha válida pode ser uma frase simples, como esta:

This is a valid, complex password in Windows Active Directory.

Veja também este .

    
por 07.07.2015 / 19:42
1

Eu posso responder a primeira parte.

As senhas no Active Directory são hash por padrão. Os algoritmos de hashing criam resultados com o mesmo comprimento (128 bits / 16 bytes, neste caso), independentemente do tamanho da entrada. Isso significa que é impossível saber de antemão quais senhas serão muito curtas * , porque os dados de senha armazenados no Active Directory são todos do mesmo tamanho e não são reversíveis. A única coisa que você pode saber é que eles encontraram a política de senha existente no momento em que foram alterados pela última vez.

De certa forma, isso também responde à segunda parte. Mesmo o Active Directory não pode saber quais das senhas que está armazenando cumprem ou não a nova política e, portanto, é impossível que ele expire automaticamente senhas inválidas.

* É tecnicamente possível conectar-se ao processo de alteração de senha do Active Directory. Se você usa o Google Apps para meu domínio, por exemplo, o Google fornece uma ferramenta opcional de sincronização de senhas que intercepta a senha antes que o Active Directory a confira e define a Conta do Google correspondente para usar a mesma senha. IIRC, CloudPath XPressConnect também se conecta a esse recurso. Portanto, se você realmente quisesse, poderia criar seu próprio plug-in para registrar apenas informações de complexidade relevantes sobre a senha toda vez que ela fosse alterada. No entanto, o Active Directory não registra essas informações por padrão e, portanto, é provável que seja tarde para qualquer alteração de política planejada existente.

    
por 07.07.2015 / 20:06

Tags

Fornecendo armazenamento em nível de arquivo compartilhado de uma SAN Nginx como um proxy reverso servindo 301