2 votes

L'utilisateur ne peut pas modifier le mot de passe - Stratégie de groupe Active Directory

J'ai vu ce problème se poser, mais aucune réponse ne semble être applicable. Lorsqu'un utilisateur essaie de changer son mot de passe en utilisant ctrl+alt+suppr -> changer de mot de passe, il reçoit un message d'erreur : "Impossible de mettre à jour le mot de passe. La valeur fournie pour le nouveau mot de passe ne répond pas aux exigences de longueur, de complexité ou d'historique du domaine." Nous avons même essayé des chaînes extrêmement longues et complexes comme tests, ce qui génère également le message d'erreur.

Dans AD U&C, je peux forcer le changement de mot de passe du compte lors de la prochaine connexion, ce qui fonctionne avec succès.

Le paramètre de sécurité applicable est appliqué au niveau du domaine dans la GPO de la stratégie de domaine par défaut. Lorsque j'exécute un gpupdate /force puis que je consulte le RSOP sur une des stations de travail, je peux voir les paramètres ci-dessous (qui sont cohérents avec la GPO) :

  • Historique des mots de passe obligatoire : 2 mots de passe enregistrés
  • Âge maximum : 120 jours
  • Âge minimum du mot de passe : 0 jours (activé et réglé à 0 jours dans la GPO)
  • Longueur minimale : 6 caractères
  • Le mot de passe doit respecter les exigences de complexité : désactivé
  • Stockage des mots de passe avec un chiffrement réversible : désactivé

J'ai exécuté un dcdiag contre nos DC. Ils réussissent tous les tests. Des suggestions sur pourquoi ce problème pourrait se produire, ou comment y remédier?

0 votes

Après avoir exécuté RSOP sur le contrôleur de domaine, tous les paramètres étaient répertoriés comme "Non défini". Si j'exécute "net accounts" sur le contrôleur de domaine, je peux voir qu'il a une durée minimale de mot de passe de 30 jours. J'ai vérifié les deux GPO qui s'appliquent aux contrôleurs de domaine (Stratégie par défaut du domaine et Stratégie par défaut du contrôleur de domaine. Les deux politiques sont définies pour avoir une durée minimale de 0 jours. J'ai effectué un gpupdate /force sur le DC, et lancé net accounts, et il affiche toujours une durée minimale de 30 jours.

1voto

Jon Cairns Points 111

Il semble que la stratégie de domaine par défaut impose une complexité de mot de passe minimale - vous devrez probablement modifier la stratégie de groupe si vous souhaitez modifier ce comportement.

De Microsoft :

"Le mot de passe doit respecter les exigences de complexité.

Ce paramètre de stratégie vérifie tous les nouveaux mots de passe pour s'assurer qu'ils répondent aux exigences de base pour des mots de passe forts. Par défaut, la valeur de ce paramètre de stratégie dans Windows Server 2008 est configurée sur Désactivé, mais elle est définie sur Activé dans un domaine Windows Server 2008 pour les deux environnements décrits dans ce guide.

Lorsque ce paramètre de stratégie est activé, les utilisateurs doivent créer des mots de passe forts qui répondent aux exigences minimales suivantes :

Les mots de passe ne peuvent pas contenir le nom de compte de l'utilisateur ou des parties du nom complet de l'utilisateur dépassant deux caractères consécutifs.

Les mots de passe doivent contenir au moins six caractères.

Les mots de passe doivent contenir des caractères de trois des quatre catégories suivantes :

Caractères majuscules anglais (A à Z).

Caractères minuscules anglais (a à z).

Caractères non alphabétiques (par exemple, !, $, #, %).

Chaque caractère supplémentaire dans un mot de passe augmente son niveau de complexité de manière exponentielle.

Par exemple, un mot de passe alphabétique en minuscules de sept caractères aurait 267 (environ 8 x 109 ou 8 milliards) combinaisons possibles.

À 1 000 000 tentatives par seconde (une capacité de nombreuses utilitaires de craquage de mot de passe), il ne faudrait que 133 minutes pour craquer un tel mot de passe.

Un mot de passe alphabétique de sept caractères avec sensibilité à la casse compte 527 combinaisons.

Un mot de passe alphanumérique sensible à la casse de sept caractères sans ponctuation compte 627 combinaisons.

Un mot de passe de huit caractères a 268 (ou 2 x 1 011) combinaisons possibles. Bien que cela puisse sembler être un grand nombre, à 1 000 000 tentatives par seconde, il ne faudrait que 59 heures pour essayer tous les mots de passe possibles.

N'oubliez pas, ces temps augmenteront considérablement pour les mots de passe utilisant des caractères ALT et d'autres caractères spéciaux du clavier tels que "!" ou "@".

L'utilisation correcte des paramètres de mot de passe contribue à prévenir le succès d'une attaque par force brute."

Source : http://technet.microsoft.com/en-us/library/cc264456.aspx

1voto

Falcon Momot Points 24815

Je vois que vous avez exécuté le RSOP sur le poste de travail. Cela affectera les comptes locaux, mais si le mot de passe qui est modifié est un compte de domaine, il sera validé par le RSOP sur le contrôleur de domaine traitant le changement de mot de passe si je me souviens bien.

De plus, il est possible d'écrire des plugins tiers qui valident la complexité du mot de passe en utilisant l'API Windows. Hitachi ID Systems publie un tel composant (qui interroge un serveur distant pour vérifier si le mot de passe respecte les règles qui y sont définies); lorsque ce type de plugin rejette le mot de passe, cela ressemble à ce qui se passe lorsque la règle de complexité intégrée à Windows 3 sur 4 le rejette. Vous devriez vérifier si vous avez de telles choses dans votre environnement (elles seraient installées sur les contrôleurs de domaine) et si c'est le cas, déterminez ce qui ne va pas avec eux, ou débarrassez-vous en.

Cela dit, étant donné que le fait de forcer un changement de mot de passe résout le problème, il est probable que le problème soit dû à l'application d'une règle d'âge minimum. Vérifiez le RSOP sur le contrôleur de domaine pour cela.

0voto

michael Points 1

Confirmez que aucune stratégie de mot de passe granulaire n'a été créée ou appliquée pour ce compte utilisateur particulier (si le niveau fonctionnel est à 2008 ou ultérieur). Vérifiez l'attribut msDS-resultantPSO de l'utilisateur, il contient la stratégie de mot de passe granulaire appliquée pour l'utilisateur correspondant. msDS-resultantPSO est un attribut construit. Si l'attribut n'est pas disponible, la stratégie par défaut du domaine est appliquée.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X