1 votes

Exigences relatives à la désactivation de la complexité des mots de passe pour Windows Server 2008

J'utilise un contrôleur de domaine Server 2008 R2 et j'essaie de résoudre un problème où les exigences en matière de complexité des mots de passe semblent être activées, même si elles sont désactivées dans la stratégie de groupe. Quelques notes :

  • Je modifie la politique de mot de passe au niveau du domaine.
  • Je n'ai pas fixé d'âge pour le mot de passe, j'ai fixé la longueur requise à un chiffre faible et j'ai désactivé les exigences de complexité, mais je dois toujours soumettre un mot de passe complexe.
  • Les paramètres secpol locaux sont les mêmes, bien que je ne pense pas qu'ils doivent être pris en compte.
  • J'ai lancé gpupdate avec l'option /force et redémarré le système.
  • RSOP dit que l'exigence de complexité devrait être désactivée.

Je ne sais pas si ma GPO n'est pas appliquée (bien que RSOP indique qu'elle l'est), ou s'il y a un autre paramètre qui est activé (toutes mes recherches n'en indiquent aucun).

Toute aide serait appréciée.

Edit : Une autre chose étrange : j'ai démarré en mode de restauration Active Directory pour essayer de changer le mot de passe du compte administrateur local, et il y a une exigence de complexité sur ces comptes locaux aussi ! L'exécution de secpol.msc à partir d'ADRS montre que la complexité ne devrait pas être requise, donc je ne pense pas qu'il s'agisse d'un problème d'Active Directory ou vraiment d'une politique de sécurité Windows. Peut-être que quelque chose a été corrompu ? Malheureusement, il ne semble pas qu'il y ait un moyen facile de voir exactement ce que SAM (ou LSASS ?) regarde pour déterminer que les mots de passe complexes sont requis. Cela n'a aucun sens.

3voto

joeqwerty Points 106914

Les politiques de compte basées sur le domaine sont appliquées à partir de la GPO Domaine par défaut. Si vous les configurez dans une autre GPO, cette GPO doit être liée au niveau du domaine et doit avoir une priorité plus élevée que la politique du domaine par défaut.

Les stratégies de compte étant des paramètres de configuration de l'ordinateur, elles affectent la base de données des comptes de sécurité locaux sur les machines concernées par les paramètres, c'est-à-dire, dans un domaine, la base de données AD sur chaque contrôleur de domaine. Ainsi, lorsque vous apportez des modifications à vos stratégies de compte basées sur le domaine, vous devez actualiser la stratégie de groupe sur vos contrôleurs de domaine avant de voir leur effet sur les utilisateurs du domaine.

2voto

Thecamelcoder Points 11

Vérifiez si vous avez installé un filtre de mot de passe personnalisé.

Key: HKLM\System\CurrentControlSet\Control\LSA  
Value: Notification Packages  

Normalement, lorsqu'un filtre de mot de passe personnalisé n'est pas installé, il aura : scecli rassfm

Installation et enregistrement d'une DLL de filtre de mot de passe
https://msdn.microsoft.com/en-us/library/Windows/desktop/ms721766%28v=vs.85%29.aspx

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X