Su GrimeFighter es ahora Avast Cleanup

Resueltos: Las contraseñas deben cumplir los requerimientos de complejidad

Recientemente estuvimos trabajando en la sincronización de contraseñas entre una implementación de AD OnPremise y servicios de directorio Azure. Como parte de la que hemos tenido que habilitar una directiva de contraseña segura (Se puede configurar esta configuración de seguridad, abra la directiva correspondiente y expanda el árbol de la consola: Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Directivas de cuenta \ Directiva de contraseñas \) que se tradujo en un montón de errores "Las contraseñas deben cumplir los requerimientos de complejidad".

La lectura y al acecho, se encontró que una política de contraseña segura se define en un servidor Windows como una política que, como mínimo cumple con los siguientes requisitos:

• Las contraseñas no deben contener toda samAccountName valor (Nombre de cuenta) del usuario o el valor de toda idioma (nombre completo). Tanto los controles no distinguen entre mayúsculas y minúsculas: La samAccountName se comprueba en su totalidad sólo para determinar si es parte de la contraseña. Si el samAccountName es menos de tres caracteres de longitud, esta comprobación se omite. El idioma se analiza para los delimitadores: comas, puntos, guiones o guiones, guiones bajos, espacios, signos de número, y las pestañas. Si se detecta cualquiera de estos delimitadores, el idioma se divide y todas las secciones analizadas (tokens) se confirmó que no se incluye en la contraseña. Las fichas que tienen menos de tres caracteres de longitud se ignoran, y subseries de las fichas no se comprueban. Por ejemplo, el nombre de "Erin M. Hagens" se divide en tres fichas:. "Erin", "M" y "Hagens" Debido a que la segunda ficha es sólo un carácter de longitud, se ignora. Por lo tanto, este usuario no podría tener una contraseña que sea incluido "Erin" o "hagens" como una subcadena en cualquier parte delcontraseña.
• Las contraseñas deben contener caracteres de tres de las cinco categorías siguientes: Los caracteres en mayúsculas de idiomas europeos (de la A a la Z, con signos diacríticos, griega y caracteres cirílicos) caracteres en minúsculas de los idiomas europeos (A a Z, agudo-s, con signos diacríticos, griega y caracteres cirílicos) Base 10 dígitos (0 a 9) caracteres no alfanuméricos: ~ @ # $% ^ & * _- = `| \ () {} [] :;" '<>, / cualquier carácter Unicode!.? que se clasifica como un carácter alfabético, pero no es mayúscula o minúscula. Esto incluye caracteres Unicode de idiomas asiáticos.

En realidad nos dieron una contraseña generada aleatoriamente que a nuestro leal saber y entender cumplido con todas las políticas. Entonces, ¿qué estábamos haciendo mal? Después de varios lazos y fracasos, llegamos a la conclusión de que el problema era la longitud de la contraseña. Esto parece irónico que cuanto mayor sea la contraseña más segura es la que da como resultado ... pero al parecer hay límites. Estábamos usando 25 caracteres y después de 30 caracteres con el fin de proporcionar varias de las categorías de caracteres requeridos múltiples veces.

finalmente se resolvieron que una contraseña no puede contener más de 16 caracteres de longitud cuando se utiliza Azure servicios de directorio a través de Windows Essentials experiencia. No estoy realmente seguro de si eso se aplica también en los escenarios regulares o si es particular de este método. En general, recomendamos contraseñas largas para las cuentas de servicio y no recuerdo que tiene este problema antes. La única cosa que me sorprende es por qué aparece el mensaje "Las contraseñas deben cumplir los requerimientos de complejidad", cuando en realidad el problema es la longitud no su complejidad.

Al instalar Fundamentos de Windows Server 2012 R2 o con Experiencia Esencial se le lleva a través de un asistente que en algún momento le informa que con el fin de proceder a la sincronización necesita habilitar la directiva de contraseñas seguras. En ese momento, posiblemente, la restricción se pone en su lugar, pero no estoy seguro de si era allí todo el tiempo o no.