Kev*_*vin 13 security password active-directory
我只是有一个用户无法在 Windows 2008 域上更改他的密码。尽管他确信他选择的密码满足这些要求,但它给了他一个关于复杂性要求的神秘信息。我自己测试并确认了。
如果我记得的话,他的最后一个密码似乎是根据 Microsoft 推荐的默认设置(例如 10 天)设置的太近了。
他问了我一个很好的问题,我无法回答:为什么会有最低密码年龄?这如何合理地有益于安全?他还指出,人们可能会在这 10 天内发现他们的密码被泄露而无法更改!
是否有任何正当理由强制执行最低密码年龄?
Dan*_*Dan 16
首先,一个技术答案:
如果您希望强制密码历史记录生效,请将最小密码年龄配置为大于 0。如果没有最短密码使用期限,用户可以反复循环使用密码,直到找到旧密码为止。
http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10).aspx(Server 2008 / Windows Vista 以后)
所以,这是不为 0 的一个很好的理由。此外,根据这些文章:
默认
1 在域控制器上。
0 在独立服务器上。
因此,换句话说,默认值是您能够强制执行密码历史记录的最低要求。
现在,就个人而言,我认为没有有效的安全理由来强制执行最小密码年龄,但可能存在一些实际/人为原因。例如,您可以限制密码更改次数以减少“忘记密码”呼叫的次数。也许我可以看到这对高中生来说是实用的。
最后,值得记住的是,这些限制不适用于通过 Active Directory 用户和计算机手动重置密码。因此,如果用户真的需要更改密码,他们可以随时向系统管理员寻求帮助。
| 归档时间: |
|
| 查看次数: |
17590 次 |
| 最近记录: |