Usuário incapaz de alterar a senha - Política de Grupo do Active Directory

2

Eu vi esse problema aparecer, mas nenhuma resposta parece ser aplicável. Quando um usuário tenta alterar sua senha usando control-alt-delete - > alterar senha, eles estão recebendo um "Não é possível atualizar a senha. O valor fornecido para a nova senha não atende aos requisitos de tamanho, complexidade ou histórico do domínio." Nós até testamos strings complexas extremamente longas como testes, que também geram a mensagem de erro.

Em AD U & C, posso forçar a alteração da senha da conta no próximo logon, que funciona com êxito.

A configuração de segurança aplicável é aplicada no nível do domínio no GPO Default Domain Policy. Quando executo um gpupdate /force e, em seguida, visualizo o RSOP em uma das estações de trabalho, posso ver as configurações abaixo (que são consistentes com o GPO):

  • Aplicar histórico de senhas: 2 senhas lembradas
  • Idade máxima: 120 dias
  • Duração mínima da senha: 0 dias (isso está ativado e definido como 0 dia no GPO)
  • Comprimento mínimo: 6 caracteres
  • A senha deve atender aos requisitos de complexidade: desativada
  • Armazenar senhas usando criptografia reversível: desativado

Eu corri um dcdiag contra nossos DC's. Eles passam todos os testes. Alguma sugestão sobre por que esse problema pode estar ocorrendo ou como resolvê-lo?

    
por newevox 20.08.2013 / 00:20

3 respostas

1

Parece que sua política de domínio padrão está impondo a complexidade mínima da senha. Você provavelmente precisará editar a Política de Grupo se quiser alterar esse comportamento.

Da Microsoft:

"A senha deve atender aos requisitos de complexidade

Esta configuração de política verifica todas as novas senhas para garantir que atendam aos requisitos básicos de senhas strongs. Por padrão, o valor dessa configuração de política no Windows Server 2008 é configurado para Desabilitado, mas está definido como Habilitado em um domínio do Windows Server 2008 para os dois ambientes descritos neste guia.

Quando essa configuração de política está ativada, os usuários precisam criar senhas strongs para atender aos seguintes requisitos mínimos:

As senhas não podem conter o nome da conta do usuário nem partes do nome completo do usuário que excedam dois caracteres consecutivos.

As senhas precisam ter pelo menos seis caracteres.

As senhas devem conter caracteres de três das quatro categorias a seguir:

Caracteres maiúsculos em inglês (A a Z).

Caracteres minúsculos em inglês (a até z).

Caracteres não alfabéticos (por exemplo,!, $, #,%).

Cada caractere adicional em uma senha aumenta sua complexidade exponencialmente.

Por exemplo, uma senha alfabética de sete caracteres e letras minúsculas teria 267 (aproximadamente 8 x 109 ou 8 bilhões) combinações possíveis.

Em 1.000.000 de tentativas por segundo (uma capacidade de muitos utilitários de quebra de senha), levaria apenas 133 minutos para decifrar essa senha.

Uma senha alfabética de sete caracteres com diferenciação de maiúsculas e minúsculas tem 527 combinações.

Uma senha alfanumérica com sete caracteres sem pontuação tem 627 combinações.

Uma senha de oito caracteres tem 268 (ou 2 x 1,011) combinações possíveis. Embora isso possa parecer um grande número, com 1.000.000 de tentativas por segundo, seriam necessárias apenas 59 horas para testar todas as senhas possíveis.

Lembre-se, esses horários aumentarão significativamente para senhas que usam caracteres ALT e outros caracteres especiais do teclado, como "!" ou "@".

O uso adequado das configurações de senha ajuda a evitar o sucesso de um ataque de força bruta. "

Fonte: link

    
por 20.08.2013 / 05:16
1

Eu vejo que você executou o RSOP na estação de trabalho. Isso afetará as contas locais, mas se a senha que está sendo alterada for uma conta de domínio, ela será validada em relação ao RSOP no controlador de domínio que processa a alteração da senha, se eu me lembrar.

Além disso, é possível escrever plugins de terceiros que validam a complexidade da senha usando a API do Windows. A Hitachi ID Systems publica um desses componentes (que consulta um servidor remoto para verificar se a senha atende às regras estabelecidas lá); quando esse plugin rejeita a senha, parece idêntico ao que acontece quando a regra de complexidade 3-de-4 do Windows é rejeitada. Você deve investigar se você tem essas coisas em seu ambiente (elas seriam instaladas nos DCs) e, se estiverem, determine o que está errado ou se livre delas.

Dito isto, uma vez que forçar uma alteração de senha corrige o problema, é provável que o problema seja que uma regra de idade mínima seja aplicada. Verifique o RSOP no DC para isso.

    
por 20.08.2013 / 05:25
0

Confirme que nenhuma política de senha detalhada foi criada ou aplicada a essa conta de usuário específica (se o nível funcional for 2008 ou posterior). Verifique o atributo msDS-resultantPSO para o usuário, ele contém a política de senha detalhada e aplicada para o usuário correspondente. msDS-resultantPSO é um atributo construído. Se o atributo não estiver disponível não estiver disponível, a política de domínio padrão será aplicada.

    
por 21.12.2013 / 15:34