Setzen Sie das Benutzerkennwort in Active Directory nach Domänenadministratorkonto oder anderem Dienstkonto zurück


8

In Active Directory können Sie Regeln festlegen und erzwingen, nach denen Benutzer ein sicheres Kennwort verwenden müssen, nicht die letzten 5+ Kennwörter verwenden können, die sie bereits hatten, und die Komplexität der Kennwörter erzwingen. Gibt es eine Möglichkeit, solche Einstellungen zu erzwingen, damit ein Dienstkonto (Webdienst zum Zurücksetzen des Kennworts), das versucht, ein neues Kennwort für den Benutzer festzulegen, anhand der Richtlinie überprüft und entweder akzeptiert oder abgelehnt wird?

Da das Dienstkonto eine Kennwortänderung erzwingt, kann der Benutzer anscheinend dasselbe Kennwort über die Weboberfläche eingeben und immer wieder dasselbe Kennwort verwenden. Da es sich um ein Dienstkonto handelt, das das Kennwort für ihn ändert, wird es nicht mit den zuletzt bekannten Kennwörtern verglichen, sodass die Kennwortregeln nicht durchgesetzt werden

Während der Programmierer eine Komplexitätsprüfung codieren könnte, kann die Prüfung der zuletzt verwendeten Kennwörter nicht auf der Weboberfläche überprüft werden, da der Webservice nicht über die Kenntnis der letzten Kennwörter verfügt.

Ist es möglich, dies so zu erzwingen, dass eine solche Änderung des Kennworts durch das Dienstkonto ebenfalls eingeschränkt wird, wie dies bei einer normalen Änderung des Benutzerkennworts der Fall wäre?

Antworten:


9

In AD gibt es zwei Arten von Vorgängen zum Ändern des Kennworts eines Benutzers: eine Änderung , die anonym ausgeführt werden kann, da das alte Kennwort als Teil der Anforderung erforderlich ist, und ein Zurücksetzen , für das das alte Kennwort nicht erforderlich ist und von ausgeführt werden muss Ein Benutzer mit Zugriff, um Kennwörter für das Zielkonto zurücksetzen zu können.

In diesem Fall führt die Softwareanwendung den Rücksetzvorgang ohne Kenntnis des alten Kennworts des Benutzers durch, wird jedoch vermutlich als Dienstkonto mit den erforderlichen Rechten authentifiziert.

Aus Sicht von AD wird das Kennwort administrativ zurückgesetzt. Der Kennwortverlauf wird in diesem Fall niemals erzwungen, da der Administrator, der das Zurücksetzen durchführt, die alten Kennwörter des Benutzers nicht kennen sollte - wenn er die Gewohnheit hat, den neuen Kennwort so Thursday1einzustellen, dass beispielsweise die Richtlinien für einen Rücksetzvorgang nicht eingehalten werden ziemlich verwirrend sein.

Während eine schlechte Benutzererfahrung vorliegt, ist der beste Mechanismus, den ich mir vorstellen kann, um dies zu handhaben, dass die Webanwendung das Kennwort zurücksetzt (möglicherweise auf etwas, das sie nicht eingeben, sondern nur generiert) und dann beim nächsten Anmelden das Kennwort "Kennwort muss geändert werden" festlegt "Flag auf dem Konto, um den Benutzer zu zwingen, sofort eine Kennwortänderungsoperation auszuführen, die den Verlauf erzwingt.

Es gibt einige Diskussionen über die Verwendung von LDAP-APIs in .Net, um das Ziel zu erreichen, den Verlauf dieser Art des Zurücksetzens hier zu erzwingen. Ich bin mir jedoch nicht sicher, ob dies je nach verwendeter Anwendung eine Option für Sie ist. Wenn Sie den Code steuern und die von Ihnen verwendete LDAP-Bibliothek Steuerelemente unterstützt, sollte dies möglich sein.


Es ist möglich, eine Kennwortänderung, wie Sie sie beschreiben, in einer Web-App zu implementieren. OWA macht das und meine Universität hat eine benutzerdefinierte App, die das auch macht. Der Benutzer muss standardmäßig zweimal das alte und dann das neue Passwort eingeben. Ich kenne die Programmierung dahinter nicht, das wäre ein Thema, das am besten für SO geeignet wäre.
Thomas

Hier ist eine Shareware-Web-App, die diese Funktion ausführt. Ich habe diese App nicht getestet und unterstütze sie NICHT . Ich teile sie nur, um zu demonstrieren, dass die Funktionalität vorhanden ist. softpedia.com/get/Internet/Servers/Server-Tools/…
Thomas

@Thomas Ich vermute, die Anwendung, die er verwendet, dient zum Zurücksetzen des Self-Service-Passworts, wenn der Benutzer sein Passwort vergessen hat (aber eine Art von Authentifizierung durch den Webdienst erzwungen hat, wie z. B. eine Sicherheitsfrage), was den "Änderungs" -Mechanismus unmöglich machen würde . Andernfalls verwenden Sie auf jeden Fall einfach die Änderungsoperation!
Shane Madden

Ich verstehe - das OP hat nicht erklärt, ob dies der Fall ist, aber Sie könnten Recht haben.
Thomas
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.