L'invocazione ChangePassword con l'oggetto DirectoryEntry

Question

Non importa quello che sto cercando di buttare a questo, questo metodo qui provoca sempre la seguente eccezione:

  var retVal = this.DirectoryEntry.Invoke("ChangePassword", new object[] { oldPassword, newPassword }) == null; 

InnerException = { "La password non soddisfa il criterio di password Verificare la lunghezza minima della password, la complessità della password e i requisiti della cronologia delle password (eccezione da HRESULT: 0x800708C5) "}

Ho controllato in modo naturale la politica di default del dominio (nessuna trovata nel mio dominio di test), il criterio Gruppo OU (nessuno esiste) e non riesce a trovare nulla che possa governare la politica della password, ma non importa quanto lungo o complesso sia il passw ord I fornitura nella funzione è, si traduce nella stessa eccezione. Ora la parte più interessante è quando faccio lo stesso (per lo stesso oggetto DirectoryEntity e la stessa password) chiamando questo:

var retVal = this.DirectoryEntry.Invoke("SetPassword", new object[] { newPassword }) == null; 

L'ultima chiamata riesce w/o eventuali problemi.

Answer 1

Ci sono una serie di criteri di gruppo andando a influenzare la complessità della password. Molti di questi sono attivi per impostazione predefinita dopo aver installato Active Directory. Se non li hai mai toccati dopo aver impostato il dominio di test, molto probabilmente, tali criteri di password sono ancora presenti.

Ecco come sono le impostazioni di sicurezza del dominio predefinito del dominio di prova. Se non lo hai cambiato prima, dovrebbe apparire simile.

È possibile trovare descrizioni dettagliate su ciascuna delle politiche in materia di MSDN. Includerò solo un riepilogo e un link qui.

• Enforce password history - Assicurarsi di non riutilizzare la vecchia password.
• Maximum password age - Assicurarsi che non sia possibile utilizzare la stessa password per più di un periodo di tempo. È impostato su 42 giorni.
• Minimum password age - Assicurarsi di non poter cambiare la password finché non è trascorso più di un periodo di tempo. È impostato su 1 giorno in un dominio.
• Minimum password length - Auto spiegato. È impostato su 7 caratteri sul controller di dominio.
• Password must meet complexity requirements - Assicurarsi che si sta utilizzando una combinazione di lettere, numeri e caratteri di simbolo nella password

Tutte le impostazioni di cui sopra possono essere la causa del vostro errore 0x800708C5. In particolare, penso che sia la politica della password "età minima della password" a causare problemi. Di default è impostato su 1 giorno. Se il tuo account di prova è un nuovo account utente creato proprio ora, non puoi cambiare la tua password nello stesso giorno.

Così ora, si potrebbe pensare che nel proprio ambiente di test, si debbano disabilitare tutte queste politiche password a scopo di sviluppo. Non suggerirò semplicemente di rendere tutte le politiche indefinite deselezionando la casella nelle pagine delle proprietà.Consiglierei i seguenti settaggi.

• Enforce password history - 0, il che significa che non controllare la cronologia della password
• Maximum password age - 0, il che significa che la password non è scaduto
• Minimum password age - 0, il che significa che è possibile cambiare la password immediatamente
• Minimum password length-0, che significa che non è necessario impostare alcuna password
• Password must meet complexity requirements - Disabilitato, ovvero accetta qualsiasi password

Un ultimo passaggio che è necessario completare nuovamente il criterio di gruppo sulla macchina. Ricordare che il criterio di gruppo è le impostazioni memorizzate in Active Directory. I criteri del gruppo di macchine vengono applicati al momento dell'avvio del computer mentre i criteri del gruppo di utenti vengono applicati al momento dell'accesso utente. Le politiche relative alle password sono una di quelle politiche della macchina. Quindi, è possibile riavviare il computer ora oppure andare al prompt dei comandi ed eseguire gpupdate.

Spero di non aver perso nessuna informazione importante. Fammi sapere se non funziona ancora :)

Answer 2

Non ho una risposta diretta ma c'è un'altra domanda simile qui: https://stackoverflow.com/questions/2517262

stare attenti con SetPassword come distruggerà privati ​​chiavi crittografiche utente: http://msmvps.com/blogs/alunj/archive/2006/11/07/ChangePassword-versus-SetPassword.aspx