Назад | Перейти на главную страницу

Active Directory - облегченные службы каталогов и политика паролей домена

Привет всем,

У нас есть домен активного каталога, который обеспечивает строгую политику паролей. Ура!

Теперь, в проекте, над которым мы работаем, мы собираемся хранить пользователей службы AD-LDS нашего веб-сайта Microsoft, а также использовать ее для аутентификации наших веб-пользователей.

Насколько я понимаю, по умолчанию AD-LDS наследует свою политику паролей от домена компьютера, на котором он установлен. Есть ли какой-либо способ разорвать эту ссылку, чтобы мы могли определить более легкую политику паролей (или никакой, если мы того пожелаем) для пользователей в AD-LDS, не затрагивая наш домен?

Примечание. AD-LDS будет размещаться на машине, которая является частью домена.

Заранее спасибо.

Я наткнулся на этот (старый) вопрос, когда искал что-то еще, но я добавлю ответ для всех, кто окажется здесь, действительно ищет ответ ...

Вариант, который вы можете использовать (при условии, что у вас есть домен AD уровня как минимум 2008 г.), - это применить политику паролей с вашими необходимыми «более легкими» настройками специально для серверов, на которых размещены ADLDS. В то время как 2003 и ниже имели только настройки политики паролей для всего домена, 2008 и новее могут поддерживать детализированные политики паролей, настроенные для определенных областей домена.

Вам не нужно сразу переходить к дополнительным настройкам.
Подойдя прямо к CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,CN={guid} достаточно.
Атрибут ADAMDisablePasswordPolicies должен быть установлен на 1.

Я не уверен, что это позволяет вам по-прежнему устанавливать и применять более легкую политику паролей, но вы можете игнорировать политики паролей домена, используя ADSI Edit для подключения к контексту именования конфигурации на сервере LDAP. Затем в объекте CN = Дополнительные функции, CN = Служба каталогов, CN = Windows NT, CN = Services, CN = Configuration, CN = {guid} есть многозначный атрибут, называемый msDS-Other-Settings. Одним из атрибутов в нем является ADAMDisablePasswordPolicies, для которого можно установить значение 1.