Назад | Перейти на главную страницу

AD LDAP Пароль не требуется

У меня есть вопрос об учетных записях AD, для которых включен параметр PASSWD_NOTREQD. Что именно делает этот параметр?

Из моего собственного исследования, похоже, что это приведет к тому, что учетная запись будет работать одним из двух способов: A) при создании учетной записи пароль не требуется, и она будет игнорировать политики паролей и всегда может быть установлена ​​в нулевое значение или B) при создании учетной записи пароль не требуется, но при изменении пароля он должен по-прежнему следуйте политике паролей.

Может ли кто-нибудь пролить свет на это для меня?

Спасибо!

Пароли пользователей и обновления

Ваша вторая гипотеза почти верна:

B) при создании учетной записи пароль не требуется, но если пароль изменен, он все равно должен соответствовать политикам паролей.

Чтобы это имело смысл, пожалуйста, поймите, что обновление пароля учетной записи пользователя может быть выполнено с помощью двух, казалось бы, похожих, но очень разных операций:

  1. По установка пароль
    • Это делает пользователь с правами администратора.
    • Обычно разрешение делегируется персоналу службы поддержки.
    • Должен придерживаться userAccountControl настройки
    • Не привязан к параметрам политики истории паролей
  2. По изменение пароль
    • Это делает пользователь
    • Обычно это часть первой попытки аутентификации после истечения срока действия пароля.
    • Должен соответствовать политике паролей и userAccountControl настройки

Это означает, что администратор может устанавливать ваш пароль к null если объект вашей учетной записи позволяет это (т.е. PASSWD_NOTREQD установлено), независимо от применяемой политики паролей и длины паролей.

Ты не можешь изменение ваш пароль к null однако, поскольку «Смена пароля» подразумевает, что вы меняете пароль, а не снимаете его. После изменения пароля новый пароль будет проверяться на соответствие действующей политике паролей.

Думаю, самый простой способ запомнить - это пароль Правила применяются к Пароли - PASSWD_NOTREQD с другой стороны, это показатель того, являетесь ли вы разрешается не иметь пароля - в этом случае политика теряет актуальность.

Это опасно?

PASSWORD_NOTREQD может показаться опасным флагом, но сам по себе он не вреден, поскольку многие механизмы предотвращают использование null-пароли (или «пустые пароли»). Как отмечалось выше, пользователи не могут сбрасывать свои собственные пароли пользователей AD по умолчанию, а Windows (как в потребительской, так и в серверной версиях) по умолчанию отклоняет аутентификацию по паролю по сети для пользователей с пустыми паролями - это означает, что вы можете войти в систему только из приставка.