Un utilisateur tente de changer son mot de passe dans un domaine Windows et celui-ci n'est pas accepté:
Le mot de passe fourni ne répond pas aux exigences de complexité minimale
Comment un utilisateur final peut-il connaître les exigences? (La solution évidente serait de contacter le service informatique, mais disons que ce n'est pas possible)
Chaque utilisateur AD peut voir la valeur de l'attribut nommé " pwdProperties ", votre identifiant étant probablement défini sur "DOMAIN_PASSWORD_COMPLEX" (valeur "1", entier).
AdFind peut être utilisé pour récupérer de nombreux attributs relatifs aux mots de passe:
AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties
Voici un exemple de ce que vous obtiendrez:
AdFind V01.45.00cpp Joe Richards ([email protected]) Mars 2011
Utilisation du serveur: domain.example.org:389 Répertoire: Windows Server 2008 R2 DN de base: DC = domaine, DC = exemple, DC = org
dn: DC = domaine, DC = exemple, DC = org
lockoutDurée: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLongueur: 7
pwdProperties: 1
pwdHistoryLength: 21 objets retournés
Cette commande intégrée de Windows (utilisez l'invite de commande : cmd.exe) imprime les mêmes détails que l'outil dans answer :
net accounts
Exemple de sortie:
C:\>net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 42
Minimum password length: 0
Length of password history maintained: None
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: WORKSTATION
The command completed successfully.
Crédits/source: http://windowsitpro.com/security/discovering-details-about-domains-password-policy
Comme il s’agit de AD, il n’existe actuellement qu’un modèle unique de complexité (en soi): le modèle dit 3 sur 4. Il est activé ou désactivé, sauf si vous utilisez un outil tiers tel que Spec Ops pour imposer un autre niveau de complexité. Trois sur quatre signifie que votre mot de passe doit inclure au moins un caractère parmi trois des quatre jeux de caractères possibles:
!@#$%^&*(*))_+
etc)