У меня есть ситуация, посредством чего домен AD, с которым я работаю, имеет достаточно разумную политику паролей на месте (например, достаточно высоко PasswordHistoryCount
, MinPasswordLength
настройки и т.д.). Я могу изменить пароль данного пользователя через PowerShell достаточно легко с помощью Set-ADAccountPassword
cmdlet, как так:
Set-ADAccountPassword
-Identity "Forename.Surname"
-NewPassword (ConvertTo-SecureString -AsPlainText "incorrectp0nypetrolnail" -Force)
-OldPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)
Вышеупомянутое также повышает ADPasswordComplexityException
ожидание, когда политика паролей нарушена при попытке снова использовать пароль, т.е. с сообщением:
"The password does not meet the length, complexity, or history requirement of the domain."
Однако политика истории пароля не осуществляется, когда пароли изменены. Это происходит или при использовании "Пользователей Active Directory и Компьютеров" UI, или при использовании Set-ADAccountPassword
cmdlet как так (принимают пароль ниже, ранее использовался пользователем):
Set-ADAccountPassword
-Identity "Forename.Surname"
-Reset
-NewPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)
Я ожидал бы то же ADPasswordComplexityException
исключение, которое было повышено в этой ситуации.
Таким образом - там какой-либо путь состоит в том, чтобы препятствовать тому, чтобы пользователь снова использовал пароли, когда сброс пароля сделан? В противном случае, что такое разумные причины разрешения этого?
Это ожидаемое поведение и сделано специально. Административные перезагрузки не зависят от возраста или истории болезни.