Отключить требования к паролю windows server 2016

Параметр политики «Пароль должен соответствовать требованиям сложности» в Server 2016 определяет минимальные требования при изменении или

Параметр политики «Пароль должен соответствовать требованиям сложности» в Server 2016 определяет минимальные требования при изменении или создании паролей. Правила, включенные в требования к сложности пароля Windows Server, являются частью Passfilt.dll и не могут быть изменены напрямую.

По умолчанию в Server 2016 пароли должны соответствовать следующим минимальным требованиям:

1. Пароли не должны содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа.
2. Пароли должны быть длиной не менее семи символов.
3. Пароли должны содержать символы из трех следующих четырех категорий:

а. Английские заглавные буквы (от A до Z)
б. Английские строчные буквы (от a до z)
с. Базовые 10 цифр (от 0 до 9)
д. Не алфавитные символы (например,!, $, #,%)

Отключить требования к сложности паролей в Server 2016

В этом руководстве содержатся инструкции по отключению требований к сложности паролей на автономном сервере 2016 или в контроллере домена Active Directory 2016.

Как удалить требования к сложности паролей в Active Directory Server 2016 или автономном сервере 2016.

Часть 1. Как отключить требования к сложности паролей в Active Directory 2016.
Часть 2. Как отключить требования к сложности паролей на автономном сервере 2016 года.

Часть 1. Как отключить требования сложности пароля в Active Directory Domain Server 2016.

Снять сложность пароля в Active Directory 2016.

1. В контроллере домена AD Server 2016 откройте Диспетчер серверов а затем из инструменты меню, откройте Управление групповой политикой. *

* Кроме того, перейдите к Панель управления -> Инструменты управления -> Управление групповой политикой.

Отключить сложность пароля Active Directory 2016

2. Под Домены, выберите свой домен и затем щелкните правой кнопкой мыши в Политика домена по умолчанию и выбрать редактировать.

отключить требования сложности пароля активный каталог 2016

3. Затем перейдите к:

  • Конфигурация компьютера Политики Параметры Windows Параметры безопасности Политики учетных записей Политика паролей

4. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.

отключить пароль сложности требований домена 2016

5. Выбрать Определите этот параметр политики: отключено а затем нажмите хорошо.

отключить требования сложности пароля активный каталог 2016

6. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.

  • gpupdate / force

образ

Часть 2. Как отключить требования сложности пароля в автономном сервере 2016 года.

1. Из диспетчера сервера перейдите на инструменты и открыть Политика локальной безопасности, или (дополнительно) перейдите к Панель управления открыто Инструменты управления а затем откройте Политика локальной безопасности.

отключить пароль сложности требования сервера 2016

2. Под Настройки безопасности, Выбрать Политика паролей.
3. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.

удалить пароль сложности требования сервера 2016

4. Выбрать инвалид а затем нажмите ХОРОШО.

отключить требования к сложности пароля

5. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.

  • gpupdate / force

образ

Это оно! Дайте мне знать, если это руководство помогло вам, оставив свой комментарий о вашем опыте. Пожалуйста, любите и делитесь этим руководством, чтобы помочь другим.

Параметр политики «Пароль должен соответствовать требованиям сложности» в Server 2016 определяет минимальные требования при изменении или создании паролей. Правила, включенные в требования к сложности пароля Windows Server, являются частью Passfilt.dll и не могут быть изменены напрямую.

По умолчанию в Server 2016 пароли должны соответствовать следующим минимальным требованиям:

1. Пароли не должны содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа.
2. Пароли должны состоять не менее чем из семи символов.
3. Пароли должны содержать символы из трех из следующих четырех категорий:

а. Заглавные буквы английского алфавита (от A до Z)
б. Английские строчные буквы (от a до z)
c. Базовые 10 цифр (от 0 до 9)
d. Неалфавитные символы (например,!, $, #,%)

Отключить требования к сложности пароля в Server 2016

В этом руководстве содержатся инструкции по отключению требований к сложности пароля на автономном сервере 2016 или в контроллере домена Active Directory 2016.

Как удалить требования к сложности пароля в Active Directory Server 2016 или автономном сервере 2016.

Часть 1. Как отключить требования к сложности пароля в Active Directory Domain Server 2016.

Чтобы убрать сложность пароля в Active Directory 2016.

1. В контроллере домена AD Server 2016 откройте Диспетчер сервера а затем из Инструменты меню, откройте Управление групповой политикой. *

* Дополнительно перейдите к Панель управления -> Инструменты управления -> Управление групповой политикой.

Отключить сложность пароля в активном каталоге 2016

2. Под Домены, выберите свой домен, а затем щелкните правой кнопкой мыши в Политика домена по умолчанию и выберите Редактировать.

отключить требования к сложности пароля Active Directory 2016

3. Затем перейдите к:

  • Конфигурация компьютера Политики Параметры Windows Параметры безопасности Политики учетной записи Политика паролей

4. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.

отключить требования к сложности пароля домен 2016

5. Выбирать Определите этот параметр политики: Отключено а затем щелкните В ПОРЯДКЕ.

отключить требования к сложности пароля Active Directory 2016

6. Наконец, откройте командную строку от имени администратора и введите следующую команду для обновления групповой политики.

  • gpupdate / force

изображение

Часть 2. Как отключить требования к сложности пароля на автономном сервере 2016.

1. Из диспетчера серверов перейдите в Инструменты и открыть Политика локальной безопасности, или (дополнительно) перейдите в Панель управления открыть Инструменты управления а затем откройте Локальная политика безопасности.

отключить требования к сложности пароля сервер 2016

2. Под Настройки безопасности, Выбрать Политика паролей.
3. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.

удалить требования к сложности пароля сервер 2016

4. Выбирать Неполноценный а затем щелкните В ПОРЯДКЕ.

отключить требования к сложности пароля

5. Наконец, откройте командную строку от имени администратора и введите следующую команду для обновления групповой политики.

  • gpupdate / force

изображение

Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.


Windows Server

  • 10.12.2014
  • 38 022
  • 9
  • 05.07.2022
  • 38
  • 34
  • 4

Windows Server: Отключение ограничения по сложности пароля

  • Содержание статьи
    • Отключаем требования сложности к паролю через редактор групповых политик
    • Комментарии к статье ( 9 шт )
    • Добавить комментарий

Начиная с Windows Server 2003, для всех пользователей операционной системы стали предъявляться повышенные требования к сложности пароля. Пароль пользователя должен соответствовать как минимум 3 условиям из списка перечисленного ниже:

  • Наличие прописных букв английского алфавита от A до Z;
  • Наличие строчных букв английского алфавита от a до z;
  • Наличие десятичных цифр (от 0 до 9);
  • Наличие неалфавитных символов (например, !, $, #, %)

Отключаем требования сложности к паролю через редактор групповых политик

Если же кто-то находит все эти сложности лишними, то это весьма легко отключается. Для этого нужно проделать действия описанные ниже.

  1. Открываем «Выполнить» (Пуск — Выполнить или поочередно зажимаем клавиши Win+R), после чего набираем gpedit.msc и жмем ОК.
  2. В левой панели выбираем Конфигурация компьютера — Конфигурация windows — Параметры безопасности — Политики учетных записей — Политика паролей. Там выбираем пункт «Пароль должен отвечать требованиям сложности».
  3. Открываем настройки данного параметра, щелкнув по нему два раза. Выбираем «Отключен».
  4. Нажимаем на кнопку «ОК» для сохранения изменений.

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить доменную политику паролей. Политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

Содержание:

  • Политика паролей в Default Domain Policy
  • Основные настройки политики паролей
  • Просмотр текущей парольной политики в домене
  • Несколько парольных политик в домене Active Directory

Политика паролей в Default Domain Policy

По-умолчанию в домене AD настройка общих требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy. Эта политика прилинкована к корню домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC эмулятор.

  1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console
    gpmc.msc
    );
  2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit; политика паролей пользователей active directory в Default Domain Policy
  3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy);
  4. Чтобы отредактировать настройки параметра политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения; изменить настройки политики паролей в домене active directory из консоли управления gpo
  5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить новые параметры групповых политик немедленно, выполнив команду
    gpupdate /force

Вы можете изменить настройки политики паролей из консоли управления GPO или с помощью PowerShell командлета Set-ADDefaultDomainPasswordPolicy:

Set-ADDefaultDomainPasswordPolicy -Identity winitpro.ru -MinPasswordLength 14 -LockoutThreshold 10

Основные настройки политики паролей

Рассмотрим все доступные для настройки параметры управления паролями пользователями. Всего есть шесть параметров политики паролей:

  • Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль (однако администратор домена или пользователь, которому делегированы права на сброс пароля в AD, может вручную задать для аккаунта старый пароль);
  • Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока действия пароля Windows потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями;

    Вы можете узнать когда истекает пароль определенного пользователя можно получить с помощью командлета:
    Get-ADUser -Identity dbpetrov -Properties msDS-UserPasswordExpiryTimeComputed | select-object @{Name="ExpirationDate";Expression= {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") }}

  • Минимальный срок жизни пароля (Minimum password age) – как часто пользователи могут менять пароль. Этот параметр не позволит пользователю несколько раз подряд сменить пароль, чтобы вернуться к любимому старому паролю, перезатерев пароли в журнале Password History. Как правило тут стоит оставить 1 день, чтобы предоставить пользователю самому сменить пароль в случае его компрометации (иначе менять пароль пользователю придется администратору);
  • Минимальная длина пароля (Minimum password length) – не рекомендуется делать пароль короче, чем 8 символов (если указать тут 0 – значит пароль не требуется);
  • Пароль должен отвечать требование сложности (Password must meet complexity requirements) – при включении этой политики пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из
    username
    или
    Firstname
    ), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически выполнять аудит паролей учетных записей домена.
  • Хранить пароли, использую обратимое шифрование (Store passwords using reversible encryption) – пароли пользователей в базе AD хранятся в зашифрованном виде, но в иногда нужно предоставить доступ некоторым приложениям нужно к паролю пользователя в домене. При включении этой политики пароли хранятся в менее защищенной виде (по сути открытом виде), что небезопасно (можно получить доступ к базе паролей при компрометации DC, в качестве одной из мер защиты можно использовать RODC).

Если пользователь пытается сменить пароль, которые не соответствует политике паролей в домене, у него появится ошибка:

Не удается обновить пароль. Введенный пароль не обеспечивает требований домена к длине пароля, его сложности или истории обновления.
Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.

Не удается обновить пароль. Введенный пароль не обеспечивает требований домена к длине пароля, его сложности или истории обновления

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

  • Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована;
  • Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно заблокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль;
  • Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Если учетные записи блокируются слишком часто, вы можете найти компьютер/сервер источник блокировки так.

Настройки парольных политик домена Active Directory по-умолчанию перечислены в таблице:

Политика Значение по-умолчанию
Enforce password history 24 пароля
Maximum password age 42 дня
Minimum password age 1 день
Minimum password length 7
Password must meet complexity requirements Включено
Store passwords using reversible encryption Отключено
Account lockout duration Не определено
Account lockout threshold 0
Reset account lockout counter after Не определено

В Security Compliance Toolkit Microsoft рекомендует использовать следующие настройки парольных политик:

  • Enforce Password History: 24
  • Maximum password age: not set
  • Minimum password age: not set
  • Minimum password length: 14
  • Password must meet complexity: Enabled
  • Store passwords using reversible encryption: Disabled

Что интересно, в недавних рекомендациях Security Baseline 1903 Microsoft указывает, что не нужно включать функцию истечения паролей для пользователей. Это не увеличивает безопасность и только создает ненужные проблемы (ссылка).

Просмотр текущей парольной политики в домене

Вы можете посмотреть текущие настройки политики паролей в Default Domain Policy в консоли
gpmc.msc
(вкладка Settings).

вывести настройки парольной политики в домене в консоли GPO

Также можно вывести информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен модуль AD PowerShell):

Get-ADDefaultDomainPasswordPolicy

Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled : True
DistinguishedName : DC=winitpro,DC=ru
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 0
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
objectClass : {domainDNS}
objectGuid : a5daca80-6c2c-49a6-8704-d1e4db76e851
PasswordHistoryCount : 24
ReversibleEncryptionEnabled : False

Или можно проверить текущие настройки политики паролей AD на любом компьютере домена с помощью стандартной утилиты gpresult.

Несколько парольных политик в домене Active Directory

За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.

В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.

Доменная политика паролей действует только на объекты AD типа user. Для паролей компьютеров, обеспечивающих доверительные отношения с доменом, есть собственные настройка GPO.

До версии Active Directory в Windows Server 2008 можно было настраивать только одну политику паролей для домена. В новых версиях AD вы можете создать отдельные политики паролей для различных групп пользователей с помощью гранулированных политик паролей Fine-Grained Password Policies (FGPP). Гранулированные политики паролей позволяют создавать и применять разные объекты параметров паролей (Password Settings Object — PSO). Например, вы можете создать PSO повышенной длиной или сложностью пароля для учетных записей доменных администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.

гранулированная политика паролей Fine-Grained Password Policy, можно применить для определенной группы или пользователей

В рабочей группе политики паролей придется настроить на каждом компьютере отдельно помощью редактора локальной GPO – gpedit.msc, либо вы можете перенести настройки локальных GPO между компьютерами так.

Содержание

  1. Изменение политики паролей в Windows Server 2012 R2
  2. Смотрите также:
  3. Изменение политики паролей в Windows Server 2008 R2
  4. Смотрите также:
  5. Настройка политики паролей пользователей в Active Directory
  6. Политика паролей в Default Domain Policy
  7. Основные настройки политики паролей
  8. Просмотр текущей парольной политики в домене
  9. Несколько парольных политик в домене Active Directory
  10. Изменение политики паролей в Windows Server 2012 R2
  11. Как отключить требования сложности пароля на сервере 2016 года.
  12. Как удалить требования к сложности паролей в Active Directory Server 2016 или автономном сервере 2016.

Изменение политики паролей в Windows Server 2012 R2

Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:

Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК» )

izmenenie politiki paroley v windows server 2012 001

В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:

izmenenie politiki paroley v windows server 2012 002

Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)

izmenenie politiki paroley v windows server 2012 003

Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).

izmenenie politiki paroley v windows server 2012 004

В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.

izmenenie politiki paroley v windows server 2012 005

Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера. Лучше использователь специальные программы для генерации с хранения паролей.

Смотрите также:

Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…

В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие…

Источник

Изменение политики паролей в Windows Server 2008 R2

Win2008Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно:

Чтобы изменить политику паролей надо зайти в «Пуск» — «Администрирование» — «Локальная политика безопасности»

101

В открывшейся оснастке раскрываем ветку «Политика учетных записей» и «Политику паролей». Здесь мы можем изменять несколько параметров, в частности отключить политику «Пароль должен отвечать требованиям сложности»

102

Все, теперь можно использовать любые пароли, но нужно помнить, что это небезопасно.

Смотрите также:

Есть ситуации, когда необходимо изменить порт для подключения к серверу терминалов в Windows Server 2008 R2. Здесь я расскажу как это сделать. 1. Изменение порта в реестре Заходим на…

В этой статье я расскажу, как установить Windows Server 2008. Как правило, установка проходит без каких-либо трудностей и мало чем отличается от установки Windows 7. Но многие вещи, о которых…

Ниже будет рассказано о том, как добавить новое правило в Брандмауэр Windows Server 2008 R2. А конкретнее, будем добавлять разрешающее правило для порта 1433, который использует Microsoft SQL Server 2008 R2 или, как…

Источник

Настройка политики паролей пользователей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить доменную политику паролей. Политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

Политика паролей в Default Domain Policy

По-умолчанию в домене AD настройка общих требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy. Эта политика прилинкована к корню домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC эмулятор.

Вы можете изменить настройки политики паролей из консоли управления GPO или с помощью PowerShell командлета Set-ADDefaultDomainPasswordPolicy:

Основные настройки политики паролей

Рассмотрим все доступные для настройки параметры управления паролями пользователями. Всего есть шесть параметров политики паролей:

Если пользователь пытается сменить пароль, которые не соответствует политике паролей в домене, у него появится ошибка:

ne udaetsya obnovit parol vvedennyj parol ne ob

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

Настройки парольных политик домена Active Directory по-умолчанию перечислены в таблице:

Политика Значение по-умолчанию
Enforce password history 24 пароля
Maximum password age 42 дня
Minimum password age 1 день
Minimum password length 7
Password must meet complexity requirements Включено
Store passwords using reversible encryption Отключено
Account lockout duration Не определено
Account lockout threshold
Reset account lockout counter after Не определено

В Security Compliance Toolkit Microsoft рекомендует использовать следующие настройки парольных политик:

Просмотр текущей парольной политики в домене

Вы можете посмотреть текущие настройки политики паролей в Default Domain Policy в консоли gpmc.msc (вкладка Settings).

vyvesti nastrojki parolnoj politiki v domene v ko

Также можно вывести информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен модуль AD PowerShell):

get addefaultdomainpasswordpolicy

Или можно проверить текущие настройки политики паролей AD на любом компьютере домена с помощью стандартной утилиты gpresult.

Несколько парольных политик в домене Active Directory

За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.

В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.

До версии Active Directory в Windows Server 2008 можно было настраивать только одну политику паролей для домена. В новых версиях AD вы можете создать отдельные политики паролей для различных групп пользователей с помощью гранулированных политик паролей Fine-Grained Password Policies (FGPP). Гранулированные политики паролей позволяют создавать и применять разные объекты параметров паролей (Password Settings Object — PSO). Например, вы можете создать PSO повышенной длиной или сложностью пароля для учетных записей доменных администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.

Источник

Изменение политики паролей в Windows Server 2012 R2

windows

Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2.
По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:

Все параметры политики паролей задаются в локальных групповых политиках.
Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК»)

izmenenie politiki paroley 001

В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:

_ «Конфигурация компьютера» (Computer Configuration)
__ «Конфигурация Windows» (Windows Settings)
___ «Параметры безопасности» (Security Settings)
____ «Политики учетных записей» (Account Policies)
_____ «Политика паролей» (Password Policy)

izmenenie politiki paroley 002

Здесь мы можем изменить необходимую нам политику.
В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)

izmenenie politiki paroley 003

Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).

izmenenie politiki paroley 004

В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей.
Все политики редактируются аналогичным образом.

izmenenie politiki paroley 005

Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера.

Источник

Как отключить требования сложности пароля на сервере 2016 года.

Параметр политики «Пароль должен соответствовать требованиям сложности» в Server 2016 определяет минимальные требования при изменении или создании паролей. Правила, включенные в требования к сложности пароля Windows Server, являются частью Passfilt.dll и не могут быть изменены напрямую.

По умолчанию в Server 2016 пароли должны соответствовать следующим минимальным требованиям:

1. Пароли не должны содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа.
2. Пароли должны быть длиной не менее семи символов.
3. Пароли должны содержать символы из трех следующих четырех категорий:

kak otkljuchit trebovanija slozhnosti parolja na 1

В этом руководстве содержатся инструкции по отключению требований к сложности паролей на автономном сервере 2016 или в контроллере домена Active Directory 2016.

Как удалить требования к сложности паролей в Active Directory Server 2016 или автономном сервере 2016.

Часть 1. Как отключить требования к сложности паролей в Active Directory 2016.
Часть 2. Как отключить требования к сложности паролей на автономном сервере 2016 года.

Часть 1. Как отключить требования сложности пароля в Active Directory Domain Server 2016.

Снять сложность пароля в Active Directory 2016.

1. В контроллере домена AD Server 2016 откройте Диспетчер серверов а затем из инструменты меню, откройте Управление групповой политикой. *

kak otkljuchit trebovanija slozhnosti parolja na 1 1

2. Под Домены, выберите свой домен и затем щелкните правой кнопкой мыши в Политика домена по умолчанию и выбрать редактировать.

kak otkljuchit trebovanija slozhnosti parolja na 2 1

3. Затем перейдите к:

4. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.

kak otkljuchit trebovanija slozhnosti parolja na 3 1

5. Выбрать Определите этот параметр политики: отключено а затем нажмите хорошо.

kak otkljuchit trebovanija slozhnosti parolja na 4 1

6. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.

ispravlenie nevozmozhno dobavit roli i komponenty 10 1

Часть 2. Как отключить требования сложности пароля в автономном сервере 2016 года.

1. Из диспетчера сервера перейдите на инструменты и открыть Политика локальной безопасности, или (дополнительно) перейдите к Панель управления открыто Инструменты управления а затем откройте Политика локальной безопасности.

kak otkljuchit trebovanija slozhnosti parolja na 5 1

2. Под Настройки безопасности, Выбрать Политика паролей.
3. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.

kak otkljuchit trebovanija slozhnosti parolja na 6 1

4. Выбрать инвалид а затем нажмите ХОРОШО.

kak otkljuchit trebovanija slozhnosti parolja na 7 1

5. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.

ispravlenie nevozmozhno dobavit roli i komponenty 10 1

Это оно! Дайте мне знать, если это руководство помогло вам, оставив свой комментарий о вашем опыте. Пожалуйста, любите и делитесь этим руководством, чтобы помочь другим.

Источник

  • Remove From My Forums
  • Question

  • I’m trying to change password complexity in Windows Server 2016, but for <g class=»gr_ gr_70 gr-alert gr_gramm gr_inline_cards gr_run_anim Grammar only-ins replaceWithoutSep» data-gr-id=»70″ id=»70″>workgroup</g>
    environment nor domain. Is it possible? 

    Thank you for any help

     


    Sam Goykhman

Answers

  • Sorry, just answer my own question. Just access   Secpol.<g
    class=»gr_ gr_157 gr-alert gr_spell gr_inline_cards gr_run_anim ContextualSpelling ins-del multiReplace» data-gr-id=»157″ id=»157″>msc</g> 
    disable password complexity there


    Sam Goykhman

    • Marked as answer by

      Tuesday, January 15, 2019 7:48 AM

  • Remove From My Forums
  • Question

  • I’m trying to change password complexity in Windows Server 2016, but for <g class=»gr_ gr_70 gr-alert gr_gramm gr_inline_cards gr_run_anim Grammar only-ins replaceWithoutSep» data-gr-id=»70″ id=»70″>workgroup</g>
    environment nor domain. Is it possible? 

    Thank you for any help

     


    Sam Goykhman

Answers

  • Sorry, just answer my own question. Just access   Secpol.<g
    class=»gr_ gr_157 gr-alert gr_spell gr_inline_cards gr_run_anim ContextualSpelling ins-del multiReplace» data-gr-id=»157″ id=»157″>msc</g> 
    disable password complexity there


    Sam Goykhman

    • Marked as answer by

      Tuesday, January 15, 2019 7:48 AM

microsoft:server:password_policy

Содержание

Windows Server 2016 Std Edition. Сервер без AD/домена. Парольные политики настраиваются штатными средствами ОС через групповые политики.

Политика паролей

Windows+R → gpedit.msc Enter

  • Local Computer Policy (Политика «Локальный компьютер»

    • Computer Configuration (Конфигурация компьютера)

      • Windows Settings (Конфигурация Windows)

        • Security Settings (Параметры безопасности)

          • Account Policies (Политики учетных записей)

            • Password Policy (Политика паролей)

Политика Краткое пояснение Возможные значения Значение по-умолчанию
Enforce password history
Вести журнал паролей
Параметр определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля 0-24 AD: 24 пароля
Stand-alone: 0
Maximum password age
Максимальный срок действия пароля
Параметр определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. 1-999 42
Minimum password age
Минимальный срок действия пароля
Параметр определяет период времени (в днях), в течение которого необходимо использовать пароль, прежде чем пользователь сможет его изменить. 0-998 1 день
Minimum password length
Минимальная длина пароля
Параметр определяет минимальное количество знаков, которое должно содержаться в пароле 0 — без пароля, 1-14 AD:7
Stand-alone: 0
Password must meet complexity requirements
Пароль должен отвечать требованиям сложности
Параметр определяет должен ли пароль отвечать требованиям:

  • Иметь длину не менее 6 знаков

  • содержать латинские заглавные буквы (от A до Z)

  • содержать латинские строчные буквы (от a до z)

  • содержать цифры (от 0 до 9)

  • отличающиеся от букв и цифр знаки (например, !, $, #, %)

Включена / Отключена Включено
Store passwords using reversible encryption
Хранить пароли, используя обратимое шифрование
Параметр определяет, используется ли операционной системой для хранения паролей обратимое шифрование. Включена/ Отключена Отключено

Политика блокировки учетных записей (Account Lockout Policy)

  • Computer Configuration (Конфигурация компьютера)

    • Windows Settings (Конфигурация Windows)

      • Security Settings (Параметры безопасности)

        • Account Policies (Политики учетных записей)

          • Account Lockout Policy (Политика блокировки учётных записей)

Политика Краткое пояснение Возможные значения Значение по-умолчанию
Account lockout duration
Время до сброса счетчика блокировки.
Параметр определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0 0-99999 Не определено
Account lockout threshold
Пороговое значение блокировки.
Параметр определяет количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя. 0-999 0
Reset account lockout counter after
Продолжительность блокировки учетной записи.
Параметр определяет количество минут, в течение которых учетная запись остается заблокированной до ее автоматической разблокировки. 0-99999 Не определено

Для немедленного применения изменений необходимо выполнить в cmd

gpupdate /force

Просмотр политик через cmd/powershell

Текущие парольные политики

Информация о пользователе

Catch-22 / Уловка-22

Проблема: невозможно установить через RDP новый пароль если у пользователя установлено User must change password at next logon.

Уловка-22 (англ. Catch-22) — ситуация, возникающая в результате логического парадокса между взаимоисключающими правилами и процедурами.

Нам необходимо войти в систему, чтобы изменить пароль, но мы не можем войти в систему пока не поменяем пароль.

Вот как это объясняет Microsoft.

In the protocol specification for CredSSP, there is no reference to the ability to change the user’s password while NLA is running. Therefore, the observed behavior can be considered «by design.»

Лучшее разъяснение по данному вопросу.

После долгих поисков в сети

я понял, что единственное простое решение это отключить NLA на стороне сервера

а на стороне клиента отключить CredSSP (отредактировать локальный .RDP файл)

enablecredsspsupport:i:0

Безопасно ли это? Наш Approved Scanning Vendor считает, что риск перехвата сессии или риск удаленного выполнения вредоносного кода минимален ЕСЛИ передача аутентификационных данных осуществляется по защищенному каналу связи (например OpenVPN).

Существует еще один вариант решения проблемы — установить RD Web Access. Но это установка IIS и дополнительный пункт в правильной настройки безопасности сервера. Для сервера без Active Directory это избыточно.

EOM

This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website.More information about cookies

microsoft/server/password_policy.txt

· Последнее изменение: 2021/01/29 19:16 —

127.0.0.1


Like this post? Please share to your friends:
  • Отключить точку доступа wifi windows 10
  • Отключить торрент при загрузке windows 10
  • Отключить цифровую подпись драйверов windows 10 через реестр
  • Отключить тестовый режим windows 10 программа
  • Отключить телеметрию windows 10 через командную строку