- - PR -
パスワード履歴設定時の大文字、小文字の区別について
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2008-02-27 16:48
Windows Server 2003 Active Directory環境において、アカウントポリシーにてパスワードの履歴を設定したのですが、パスワードを変更しようとして、クライアントPC上で下記のような文字種を変えずに大文字小文字の変更を実施すると、パスワードの変更ができません。文字を変更すれば、問題なく変更できます。
現在のパスワード→新パスワード abc12345 Abc12345(小文字を大文字に変更) パスワードの変更では大文字小文字の変更は識別していないのでしょうか?ご存知の方がいらっしゃいましたらご教示願います。 参考 アカウントポリシー設定状況 パスワードの長さ:8文字以上 パスワードの履歴:1回保存 パスワードの複雑さ:無効 パスワードの期限:42日 |
|
投稿日時: 2008-02-28 15:47
チャブーンです。
"パスワードの履歴" 自体は、パスワードのハッシュ値が保存されるので、"大文字小文字を区別しない" ということは一般にはあり得ません。 http://msdn2.microsoft.com/en-us/library/aa370690(vs.85).aspx もし考えられるとしたら、LMハッシュを見ているのかもしれない、ということです。 Windows が自身のパスワードを保存する時には、LMハッシュとNTハッシュに変換されて保存されますが、LMハッシュは "すべての英文字が大文字" という前提で生成されます。この基準だと、小文字を大文字に変えても、ハッシュは変わらないので、パスワードも変わったことにはなりません。 http://support.microsoft.com/kb/299656 うえにある方法で、全ドメインコントローラ上で HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash レジストリ値を 1 として、LMハッシュを飛ばしたうえで、再度チャレンジしてみてはどうでしょう。 私の方でチラリと試したところ、うえのとおりに動いたようです。 [ メッセージ編集済み 編集者: チャブーン 編集日時 2008-02-28 15:53 ] |
|
投稿日時: 2008-03-03 16:47
チャブーンさん ご回答ありがとうございます!
情報を確認したところ、ドメインコントローラセキュリティポリシーで「次のパスワード変更でLAN Managerのハッシュの値を保存しない」に設定すれば、この問題を解消できそうです。 クライアントのローカルポリシーで確認したところ、大文字⇔小文字の変更でもパスワードの変更を実施することが出来るようになりました。 ただ、下記のサイトの確認したところ、互換性の問題が発生する可能性があるので、検証を実施後に、設定変更を実施しようと思います。 http://support.microsoft.com/kb/823659 もしご存知でしたら、この設定変更で注意する点などありましたら、ご教示いただけませんでしょうか? |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。