Password policy in Active Directory - inactivation of complexity without effect
In my Samba Active Directory Domain, I want to allow passwords that are long (passphrase) and based only on small caps and special characters, i.e. no requirement for large caps and numbers.
In order to do so, I created a new domain wide GPO for authenticated users where I disabled the complexity check (Password must meet password complexity requirement) and instead increased the minimum password length to 10.
I ran gpupdate to make sure the policy was distributed to the computer I'm sitting on. Unfortunately, this didn't have the expected effect, I still get the error message that my new password is not in line with the password policy.
A quick check using gpresult /v reveals the following information:
Account Policies
----------------
GPO: Default Domain Policy
Policy: MaximumPasswordAge
Computer Setting: 180
GPO: Default Domain Policy
Policy: MinimumPasswordAge
Computer Setting: 15
GPO: Default Domain Policy
Policy: MinimumPasswordLength
Computer Setting: 10
Security Options
----------------
GPO: Default Domain Policy
Policy: PasswordComplexity
Computer Setting: Not Enabled
What went wrong?
Update: Since a few commenters suggested I should do it via the Default Policy, I did that. The result remains exactly the same. I am attaching a screenshot of the policy just to avoid any doubt.
And here is a screenshot of the local security policy which confirms that the GPO was indeed applied. It looks fine but I can still create 8 digit passwords for domain users and they must include large caps and a number.
Хорошо, это застало меня врасплох. Хотя домен Samba Active Directory обычно может быть полностью сконфигурирован без проблем с помощью RSAT, кажется, что политика паролей - одна из тех немногих вещей, где это не работает, или, по крайней мере, не работает в полном объеме. Решение заключается в отключении сложности непосредственно на сервере Samba, используя
# samba-tool domain passwordsettings set --complexity=off
Я изначально не заявлял, что использую Samba, так что остальные ответы и комментарии полностью действительны для домена, работающего только в Microsoft. Я адаптирую свой вопрос, чтобы он отражал использование Samba.
Обновление для пояснения: Как заметил Джо, GPO для настройки пароля применяется к самому контроллеру домена, а не к клиентам, как в случае с обычными GPO. И именно по этой причине этот GPO не может вступить в силу на контроллере домена Samba. Samba может обслуживать только GPO, а не применять их к самому себе
.Игнорируя FGPP, может быть только одна политика паролей домена. Это по умолчанию определено в Default Domain Policy GPO. Если вы хотите использовать другой GPO Password Policy, вам нужно связать его с доменом и дать ему более высокий приоритет, чем Default Domain Policy GPO. Я подозреваю, что именно в этом заключается ваша проблема.
EDIT:
Нужно кое-что понять, что политика паролей влияет на базу данных локальных учетных записей безопасности. Это означает, что когда вы смотрите на настройки на компьютере пользователя, вы смотрите на настройки, которые применяются к базе данных локальной учетной записи безопасности на этом компьютере пользователя, и они будут влиять на локальные учетные записи пользователей на этом компьютере пользователя. Для пользователей Active Directory локальная база данных учетных записей безопасности - это база данных Active Directory, которая хранится на контроллерах домена. Если вы хотите посмотреть, что такое политика паролей для домена, то вам нужно запустить мастера Group Policy Results на контроллере домена, а не на компьютере участника. Запустите его и опубликуйте результаты в своем вопросе
.