问密码策略在有或不带AD的windows上是否是动态的？

EN

可以为密码标准编写自己的代码。可以在成员计算机或域控制器上注册DLL。

https://docs.microsoft.com/en-us/windows/win32/secmgmt/installing-and-registering-a-password-filter-dll

如果启用了“附加LSA保护”，这将无法工作，因为它要求LSA由Microsoft签名。

https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection

正如所指出的，可以利用自定义密码筛选器利用passfilt.dll。实际上，我使用了GitHub上提供的这样一个过滤器(或其分叉)。它被称为OpenPasswordFilter。我选择使用此筛选器，因为系统管理员关于如何创建和管理自定义密码筛选器的文档很少。虽然我通常看到这用于配置密码黑名单，但您应该能够执行您要求的验证。问题是使用自定义密码筛选器这样做有多困难？

但是，这些更改需要扩展到每个域控制器和每个新的域控制器中。考虑到当今自动化和配置管理的水平，它可能并不是非常困难，但它是必须监视和维护的其他东西。

总之，这是一个很好的解决方案，但文档有限。您的继任者也可能难以支持、更新和扩展此解决方案--这是决定实现该解决方案时要考虑的一个因素。

我相信您的问题最直接的解决方案是使用细粒度密码策略。这可以用最少的测试很快实现；这些设置会在所有域控制器中自动复制。不利的一面，然而，它确实需要一些最终用户的参与/选举。

我的解决办法如下：

• 创建两个新的FGPPs
  • 1:最低限度为8；启用复杂性
  • 2:最小长度为16；复杂性禁用

• 创建两个新的安全组
  • 1: pso_MinLength08
  • 2: pso_MinLength16

• 将每个组指定为适当的FGPP的主题
• 告知最终用户他们的选择--一个简短的“复杂”密码或一个长长的“简单”密码。他们可以在需要的时候来回切换，并通知你。
• 根据用户的选择将用户添加到相应的组中；您可以将他们默认为简短的复杂组。
• 必要时作出改变

关于上述或其他考虑事项的一些说明：

你可以用一个组实现同样的目标。我倾向于使用两种可见性，但是通过确保默认域密码策略配置的最小长度为8并且启用复杂性，可以限制需要进行的组更改的数量。-您只需要在用户进行选举时将用户添加到组中--您不需要确保用户仅是一个组的成员，或者-您不必在每个FGPP上配置不同的先例值。

虽然我在NIST和微软公司工作(大部分时间是在密码轮换方面)，但我的雇主仍然要求密码轮换。我选择“奖励”那些接受较长密码最小值的用户，每年只旋转一次密码。对密码要求较短的人每季度更改密码，将受到“惩罚”。在我看来，这是太频繁了，无法使用，但我希望这种烦扰能为用户提供足够的激励，使其使用更长的密码。

虽然上面没有提到，但如果您确实以这种方式使用FGPP，我肯定会在每个密码设置选项上配置不同的优先级，以确保在更改密码时不会出现意外的行为。这将解决一个问题，如果他们是两个小组的成员，而这两个伙伴关系方案的原则是平等的。

无论您选择哪种方法，我都要指出，您应该确保将帐户"krbtgt“排除在任何此类密码复杂性验证之外。我有一个单独的FGPP这个帐户和那些类似的帐户使用只读域控制器，以确保他们的密码更改不受影响。我的krbtgt FGPP没有长度、年龄或复杂性要求。