Gelöst: Kennwörter müssen den Komplexitätsanforderungen entsprechen

Vor kurzem auf dem wir arbeiteten Passwörter zwischen einem OnPremise AD-Bereitstellung und Azure Directory Services zu synchronisieren. Als Teil hatten wir ein starkes Passwort-Richtlinie zu aktivieren (Sie können diese Sicherheitseinstellungen konfigurieren, indem Sie die entsprechende Richtlinie öffnen und die Erweiterung der Konsolenstruktur: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Kontorichtlinien \ Kennwortrichtlinien \), die in vielen resultierten von Fehlern "Kennwörter müssen den Komplexitätsanforderungen entsprechen".

Das Lesen und lauert fanden wir, dass eine starke Kennwortrichtlinie auf einem Windows-Server als Richtlinie definiert ist, die auf mindestens die folgenden Anforderungen erfüllt:

• Passwörter müssen nicht die gesamte Benutzer enthalten samAccountName (Kontoname) Wert oder ganze display (Vollständiger Name) Wert. Beide Prüfungen werden nicht zwischen Groß- und Klein: Die samAccountName ist in seiner Gesamtheit nur überprüft, um festzustellen, ob es Teil des Passworts ist. Wenn die samAccountName weniger als drei Zeichen lang ist, wird diese Prüfung übersprungen. Die display ist für Begrenzer analysiert: Kommas, Punkte, Striche oder Bindestriche, Unterstriche, Leerzeichen, Nummernzeichen und Registerkarten. Wenn eine dieser Begrenzungszeichen gefunden werden, wird die display aufgeteilt und alle geparst Abschnitte (Tokens) werden nicht bestätigt in dem Passwort enthalten sein. Tokens, die weniger als drei Zeichen lang werden ignoriert, und Teil der Token werden nicht geprüft. Zum Beispiel ist der Name "Erin M. Hagens" gliedert sich in drei Token:. "Erin", "M" und "Hagens" Weil das zweite Token nur ein Zeichen lang ist, wird sie ignoriert. Daher könnte dieser Benutzer kein Passwort haben, die entweder "erin" oder "hagens" als Teil überall in der mitgeliefertenPasswort.
• Kennwörter müssen Zeichen aus drei der folgenden fünf Kategorien enthalten: Großbuchstaben der europäischen Sprachen (A bis Z, mit diakritischen Zeichen, griechische und kyrillische Zeichen) Kleine Zeichen der europäischen Sprachen (a bis z, scharf s, mit diakritischen Zeichen, Griechisch und kyrillische Zeichen) Basis 10 Ziffern (0 bis 9) nonalphanumeric Zeichen: ~ @ # $% ^ & * _- = '| \ () {} [] :; "' <>, / Alle Unicode-Zeichen!.? dass als ein alphabetisches Zeichen kategorisiert, ist aber nicht groß oder klein geschrieben. Dazu gehören Unicode-Zeichen aus asiatischen Sprachen.

Wir haben tatsächlich eine zufällig generierte Passwort, das nach bestem Wissen mit allen Richtlinien eingehalten werden. Also, was taten wir falsch? Nach mehreren Bindungen und Ausfälle, schlossen wir, dass das Problem der Passwortlänge war. Dies scheint ironisch als je länger das Passwort, das der sicherste ist es führt ... aber anscheinend gibt es Grenzen. Wir wurden mit 25 Zeichen und dann 30 Zeichen, um mehrere Male mehrere der erforderlichen Zeichenkategorien zur Verfügung zu stellen.

Wir beschlossen schließlich, dass ein Passwort nicht länger als 16 Zeichen lang sein können, wenn sie über Windows Essentials Experience Azure Directory Services verwenden. Ich bin eigentlich nicht sicher, ob das auch in regelmäßigen Szenarien gilt, oder wenn es besonders dieser Methode. Wir empfehlen in der Regel lange Kennwörter für Dienstkonten und ich kann mich nicht erinnern, bevor dieses Problem zu begegnen. Das einzige, was mir in den Sinn bläst ist, warum Sie die Meldung "Kennwörter müssen den Komplexitätsanforderungen entsprechen", wenn wirklich das Problem ist die Länge nicht seine Komplexität ist.

Wenn Sie Windows Server Essentials-oder 2012 R2 mit Essentials-Experience installieren Sie durch einen Assistenten genommen, die Sie an einem gewissen Punkt, dass Sie mit der Synchronisierung zu gehen, um informiert brauchen die starke Passwort-Richtlinie zu aktivieren. An diesem Punkt möglicherweise wird die Beschränkung in Kraft gesetzt, aber ich bin mir nicht sicher, ob es dort die ganze Zeit oder nicht.