根据此 SQL Server 2008 白皮书,SQL Server 仅应在 Check_Expiration(强制密码过期)选项打开时注意最小密码年龄策略。白皮书中的第 7 页明确指出“CHECK_EXPIRATION 使用 Windows Server 2003 策略的最短和最长密码期限部分,而 CHECK_POLICY 使用其他策略设置”。但是,这不是我发现的。看起来您只需要打开 Check_Policy(强制密码策略)。
例如,我有一个 SQL 登录(使用 SQL Server 身份验证),启用了强制密码策略,但强制密码过期关闭。我的域的密码策略将最小密码年龄设置为 1。我可以使用 sp_password 更改密码一次,但是当我再次尝试更改密码时,我收到此错误:
服务器:消息 15114,级别 16,状态 1,行 1 密码验证失败。用户密码太新,无法更改。
本白皮书中的文档是否完全错误?为什么在 Check_Expiration 关闭时会发生这种情况?我还发现这个网站还说只有在 Check_Expiration 开启时才应该强制执行最小密码年龄。我认为这对于 MAXIMUM Password Age 是正确的,但我发现当 Check_Expiration 关闭时,Minimum Password Age 仍在强制执行。
我的配置有什么奇怪的地方吗?当 Check_Expiration 关闭(但 Check_Policy 开启)时,是否真的应该强制执行最小密码年龄?