Win2k3 Password complexity

Ik loop recent tegen een probleem aan waar ik niet helemaal uit kom. Vandaar dit topic

Wegens verscherping van onze beveiligingsmaatregelen hebben we enige tijd gelden in de Default Domain policy "Passwords must meet complexity requirements" aangezet. Dit gaf vervolgens problemen met de wachtwoord policy in onze AS/400. Daarop is besloten om in de Default Domain Policy de waarde terug te zetten naar disabled.

Als ik nu een wachtwoord wil wijzigen gaat dat echter niet makkelijk meer. Ik heb begrepen dat bij de complexity requirements een wachtwoord aan de volgende eisen moet voldoen:
- mag geen Admin/Administrator zijn
- moet tenminste 3 van de volgende 4 groepen bevatten: hoofdletters, kleine letters, cijfers, speciale tekens

Als ik nu als test het wachtwoord 1WSX2@5 of 1wSX2@5 invoer dan wordt deze niet geaccepteerd en verschijnt Error 2245. (wachtwoord voldoet niet aan de eisen)

Ik kan nu dus met geen mogelijk meer een wachtwoord wijzigen. Weet iemand wat er fout gaat? Wachtwoord lengte staat ingesteld op minimaal 6 tekens, complexity staat disabled maar lijkt actief.

SpamLame schreef op donderdag 05 april 2007 @ 09:51:
Doe eens een "gpupdate -force" op de commandline, mss dat de policy nog niet gedistribureerd is.

Is het overigens niet beter dat je de default domain polices niet aanpast, maar daar een andere policy (of policies) op maakt die settings bevatten die je als orginasatie gebruiken wilt.

gpupdate -force zal niet helpen denk ik aangezien dit 2 maanden geleden als test was ingesteld
Mja, collega's stellen ook wel eens wat in dus daar had ik helaas geen invloed op. We hebben wel aparte policies staan voor servers en de diverse clients, helaas is het in de domain policy aangepast en zit ik nu met een probleem.

@ boven mij: ik probeer een wachtwoord voor windows te wijzigen vanaf een client.

[ Voor 5% gewijzigd door sh4d0wman op 05-04-2007 10:01 ]

Lengte moet minimaal 6 zijn bij mij, staat ook in de domain policy ingesteld.

Ik heb op de client, en TS servers gpupdate gedaan. Dit heeft vooralsnog geen resultaat. Het vreemde is dat de wachtwoorden die ik als test ingeef (inmiddels ook met 8 tekens geprobeerd) voldoen aan de complexity requirements die ik op de MS site heb gezien. Toch worden ze niet geaccepteerd...

Het lijkt er op (voor mij) dat complexity requirements aan staat maar dan zou hij toch minstens 1 van de testwachtwoorden moeten pakken want die voldoen aan de regels die ik in de topic start heb gezet.

TheRookie schreef op donderdag 05 april 2007 @ 10:27:
Heb je die test wachtwoorden al eens eerder voor dat account gebruikt ? Volgens mij is een v/d regels ook dat de laatste "x" wachtwoorden onthouden worden ...

Nee nog nooit.

GPresult laat zien dat password complexity uit staat. Overige instellingen:
Accountbeleid
-------------
Groepsbeleidsobjecten: Default Domain Policy
Beleid: MinimumPasswordAge
Computerinstelling: 1

Groepsbeleidsobjecten: Default Domain Policy
Beleid: PasswordHistorySize
Computerinstelling: 10

Groepsbeleidsobjecten: Default Domain Policy
Beleid: LockoutDuration
Computerinstelling: 4294967295

Groepsbeleidsobjecten: Default Domain Policy
Beleid: ResetLockoutCount
Computerinstelling: 60

Groepsbeleidsobjecten: Default Domain Policy
Beleid: MinimumPasswordLength
Computerinstelling: 6

Groepsbeleidsobjecten: Default Domain Policy
Beleid: LockoutBadCount
Computerinstelling: 3

Groepsbeleidsobjecten: Default Domain Policy
Beleid: MaximumPasswordAge
Computerinstelling: 90

alt-92 schreef op donderdag 05 april 2007 @ 12:10:
Password settings voor je domain hebben alleen direct effect als je op je DC de refresh doet, het heeft geen nut op een client een gpupdate te draaien

Ok Moet nog eens wat Microsft boeken gaan lezen haha (meer bezig met citrix op dit moment)
Heb aangepast dat het wachtwoord 91 dagen geldig is ipv 90. Dit is vervolgens na update te zien op de DC, TS servers en mijn Windows client. Wachtwoord wijzigen geeft echter nog steeds problemen. Het volgende wachtwoord geprobeerd (nog niet eerder gebruikt):

1XSW2@2F (deze zou dus zelfs onder complexity requirements eigenlijk niet geweigerd mogen worden, ik heb dus geen flauw idee waar dit nu op stuk loopt)

[ Voor 10% gewijzigd door sh4d0wman op 05-04-2007 12:20 ]

alt-92 schreef op donderdag 05 april 2007 @ 15:16:
[...]

Mja Had je met logisch nadenken ook wel kunnen bedenken natuurlijk.
Je DC is binnen een AD de doos die alle user/passwords authenticeert, dan is het ook logisch dat je policy dáárop toegepast moet worden.


[...]

Is dat de enige policy waar dat instaat, of is er nog één naast/onder/boven gezet?

(hint: GPMC)

Ik redeneerde van eerst instelling wijzigen op de DC, dan gpupdate op de client zodat ie meteen de wijziging in gaat lezen. Vandaar dus

GPMC draaien we al een tijdje. We hebben alles mbt wachtwoorden in de Domain Policy staan. Verder hebben we de Domain Controller policy and 2 policies voor Citrix servers en Windows clients, daar staat niks ingesteld bij wachtwoord zaken.

We hebben inmiddels weer meer getest, hierbij zijn ook de servers nog eens gereboot.

Passwords die hier niet geaccepteerd worden, gaan wel probleemloos in een testomgeving. Met en zonder password complexity requirements.
In productieomgeving zien we in grouppolicies geen vreemde zaken.

Iemand nog een idee hoe we dit op kunnen lossen?

edit @ hieronder: mijn eigen netwerkaccount, zit niet verwerkt in het wachtwoord. Maar iig bedankt voor het meedenken

[ Voor 15% gewijzigd door sh4d0wman op 12-04-2007 09:08 ]