概述:域控组策略添加了策略后依然会有一些弱密码可以设置,例如我设置策略密码最低八位、和密码复杂性,但是Abc@1234 Passw0rd 这种或者更多也符合了域控密码策略的要求,让IT很是头疼,本篇主要时针对组策略和第三方插件配合使用,解决此类问题。
一、设置组策略
1、打开组策略管理
2、在这条GPO上修改密码要求
3、设置组策略密码要求
4、客户端cmd 输入gpupdate /force 然后 rsop查看是否生效
gpupdate /foce
rsop
5、如图所示已经生效。
二、设置弱密码限制
下载地址:GitHub - ryanries/PassFiltEx: PassFiltEx. An Active Directory Password Filter.
或者直接下载
1、将压缩包解压后将这两个文件复制到 C:\Windows\System32 目录下
2、PassFiltExBlacklist每一行都是弱密码,可以将不想使用的可以直接输入到里面,例如我,如果想要互联网的记录,自己上google查询密码库
3、修改注册表 regedit.msc
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
找到Notification Packages 在最下面加上 PassFiltEx 确定,保存,重启DC
原则上要修改所有DC,因为用户会在就近的DC进行验证。
4、重启DC后尝试修改密码,提示不能满足策略。