最低密码年龄的基本原理是什么？

我只是有一个用户无法在Windows 2008域上更改其密码。即使他确定自己选择的密码能够满足这些要求，这也给了他关于复杂性要求的神秘信息。我自己测试并确认。

我记得，微软建议的默认密码似乎是10天，而最近一次设置的密码是最近一次。

他问我一个很好的问题，我无法回答：为什么会有一个最小密码使用期限？这如何合理地使安全受益？他还指出，在这10天之内可能会发现他们的密码被盗，无法更改！

是否有任何合理的理由来强制设置最小密码使用期限？

首先，一个技术答案：

如果要强制实施密码历史记录，则将最小密码使用期限配置为大于0。在没有最低密码年龄的情况下，用户可以反复循环浏览密码，直到成为旧密码为止。

http://technet.microsoft.com/zh-CN/library/cc779758(v=ws.10).aspx（Server 2003）http://technet.microsoft.com/zh-CN/library/hh994570 ( v= ws.10）.aspx（Server 2008 / Windows Vista及更高版本）

因此，这是使其不为0的充分理由。此外，根据这些文章：

默认

1在域控制器上。

在独立服务器上为0。

因此，换句话说，默认值是您能够强制执行密码历史记录的最低要求。

现在，就我个人而言，我认为没有有效的安全原因来强制设置最低密码期限，但是可能存在一些实际/人为的原因。例如，您可以限制密码更改的次数以减少“忘记密码”呼叫的次数。我可能认为这对高中生很实用。

最后，需要牢记的是，这些限制不适用于Active Directory用户和计算机的手动密码重置。因此，如果他们确实需要更改密码，则用户始终可以向Sysadmin寻求帮助。

最低密码使用期限的基本原理是防止用户在强制更改密码后立即还原到其旧密码。此策略最好与“密码历史记录”策略一起使用（防止用户重复使用其前X个数字的先前密码）。

最小密码使用期限也可以用作安全措施。如果黑客在闯入计算机后立即更改了密码怎么办？