Управляемая учетная запись службы по умолчанию имеет ACE «Все: изменить пароль».
Я создал учетную запись службы, используя Add-ADComputerServiceAccount командлет и привязать его к учетной записи компьютера, используя Install-ADServiceAccount. При просмотре ACL созданного объекта учетной записи службы я заметил, что группа «Все» имеет разрешение «Изменить пароль», назначенное этому объекту, в то время как «SELF» таинственным образом не имеет:
Это похоже на проблему безопасности и вектор атаки типа «отказ в обслуживании». Почему это так? Должен ли он оставаться таким?
Взгляните на ACL безопасности по умолчанию для обычной учетной записи пользователя. Вы заметите, что у всех также есть изменение пароля. Но все не могут просто пойти и сменить пароли друг друга.
Помни это Сменить пароль и Сброс пароля это два разных разрешения. Смена пароля - это то, что пользователь делает сам, и требует предоставления текущего пароля как часть процесса. Сброс пароля выполняется другим пользователем административно и не требует текущего пароля.
редактировать: Нет, я ошибался насчет первопричины. Статья Microsoft KB242795 лучше объясняет основную причину разрешения.
Из статьи:
Группа «Все» имеет разрешения на изменение пароля для всех компьютеров и объектов пользователей, поэтому неаутентифицированные или «анонимные» пользователи или компьютеры могут изменять свои пароли по истечении срока их действия без предварительной аутентификации. Если анонимному пользователю отказано в возможности изменять пароли, пользователь не сможет изменить пароль без входа в систему.