"複雑さの要件を満たす必要がある" を有効にしてもパスワードの長さを 6 文字以上にする必要が無い

適用対象: Windows Server 2008 R2 EnterpriseWindows Server 2008 R2 StandardWindows Server 2008 Enterprise

現象


グループ ポリシーのパスワード ポリシーで "複雑さの要件を満たす必要がある" を有効にしてもパスワードの長さを 6 文字以上にしなくとも有効なパスワードとして設定が可能です。

複雑さの要件を満たす必要があるパスワードの条件の説明として次のような条件が記載されています。

- ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
- 長さは 6 文字以上にする。
- 次の 4 つのカテゴリのうち 3 つから文字を使う。
 ・ 英大文字 (A ~ Z)
 ・ 英小文字 (a ~ z)
 ・ 10 進数の数字 (0 ~ 9)
 ・ アルファベット以外の文字 (!、$、#、% など)

しかし、実際には 6 文字以上としなくとも 4 つのカテゴリのうち 3 種類の文字を使用すれば 3 文字であっても有効なパスワードとして設定ができます。


回避策


パスワードの長さについて 4 文字以上にするよう強制する場合には、 "パスワードの長さ" のポリシーを有効にし、必要とする文字数を設定します。

状況


マイクロソフトでは、この問題をマイクロソフト製品の問題として認識しています。