Por que as redefinições de senha do Active Directory estão ignorando a regra Contagem de histórico de senhas?

1

Eu tenho uma situação em que um domínio do AD com o qual estou trabalhando tem uma política de senha sensata o suficiente (por exemplo, PasswordHistoryCount , MinPasswordLength configurações, etc.). Posso alterar a senha de um determinado usuário por meio do PowerShell com bastante facilidade usando o cmdlet Set-ADAccountPassword , assim:

Set-ADAccountPassword
    -Identity "Forename.Surname"
    -NewPassword (ConvertTo-SecureString -AsPlainText "incorrectp0nypetrolnail" -Force)
    -OldPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)

O acima também gera uma exposição ADPasswordComplexityException quando a política de senha é violada ao tentar reutilizar uma senha, ou seja, com a mensagem:

"The password does not meet the length, complexity, or history requirement of the domain."

No entanto, a política do histórico de senhas não está sendo aplicada quando as senhas são redefinidas. Isso ocorre ao usar a interface do usuário "Usuários e computadores do Active Directory" ou ao usar o cmdlet Set-ADAccountPassword (suponha que a senha abaixo tenha sido usada anteriormente pelo usuário):

Set-ADAccountPassword
    -Identity "Forename.Surname"
    -Reset
    -NewPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)

Eu esperava que a mesma exceção de ADPasswordComplexityException tivesse sido levantada nessa situação.

Então - existe alguma maneira de impedir que um usuário reutilize senhas quando uma redefinição de senha é feita? Se não, quais são as razões sensatas para permitir isso?

    
por robyaw 13.10.2015 / 13:44

1 resposta

2

Esse é o comportamento esperado e é por design. As redefinições administrativas não estão sujeitas a requisitos de idade ou histórico.

    
por 13.10.2015 / 14:25