Tengo una situación en la que un dominio AD con el que estoy trabajando tiene una política de contraseñas lo suficientemente sensata (por ejemplo, configuraciones suficientemente altas PasswordHistoryCount, MinPasswordLengthetc.). Puedo cambiar la contraseña de un usuario determinado a través de PowerShell con bastante facilidad usando el Set-ADAccountPasswordcmdlet, así:
Set-ADAccountPassword
-Identity "Forename.Surname"
-NewPassword (ConvertTo-SecureString -AsPlainText "incorrectp0nypetrolnail" -Force)
-OldPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)
Lo anterior también genera una ADPasswordComplexityExceptionexpectativa cuando se viola la política de contraseñas al intentar reutilizar una contraseña, es decir, con el mensaje:
"The password does not meet the length, complexity, or history requirement of the domain."
Sin embargo, la política del historial de contraseñas no se aplica cuando se restablecen las contraseñas. Esto ocurre cuando se usa la interfaz de usuario "Usuarios y computadoras de Active Directory" o cuando se usa el Set-ADAccountPasswordcmdlet de esta manera (suponiendo que el usuario haya usado previamente la siguiente contraseña):
Set-ADAccountPassword
-Identity "Forename.Surname"
-Reset
-NewPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)
Habría esperado que ADPasswordComplexityExceptionse hubiera planteado la misma excepción en esta situación.
Entonces, ¿hay alguna forma de evitar que un usuario reutilice las contraseñas cuando se restablece la contraseña? En caso negativo, ¿cuáles son las razones sensatas para permitirlo?
Respuesta1
Ese es el comportamiento esperado y es por diseño. Los reinicios administrativos no están sujetos a requisitos de edad o historial.