Atur ulang kata sandi pengguna di Direktori Aktif dengan akun Admin Domain atau akun layanan lainnya


8

Dalam Active Directory Anda dapat menetapkan dan menegakkan aturan di mana pengguna harus menggunakan kata sandi yang kuat, tidak dapat menggunakan 5+ kata sandi terakhir yang sudah mereka miliki, menegakkan kompleksitas kata sandi. Apakah ada cara untuk menegakkan pengaturan tersebut sehingga jika akun layanan (layanan web pengaturan ulang kata sandi) mencoba menetapkan kata sandi baru untuk pengguna, itu dicentang dengan kebijakan dan diterima atau ditolak?

Tampaknya karena akun layanan memaksa perubahan kata sandi pengguna dapat mengetikkan kata sandi yang sama melalui antarmuka web dan terus menggunakan kata sandi yang sama berulang-ulang. Karena ini adalah akun layanan yang mengubah kata sandi untuknya, itu tidak diperiksa terhadap kata sandi yang terakhir diketahui sehingga aturan kata sandi tidak ditegakkan

Sementara programmer dapat mengkode kompleksitas memeriksa kata sandi yang digunakan terakhir memeriksa tidak dapat diperiksa pada antarmuka web karena layanan web tidak memiliki pengetahuan tentang kata sandi terakhir.

Apakah mungkin untuk memaksanya sehingga perubahan kata sandi seperti itu oleh akun layanan juga dibatasi seperti perubahan kata sandi pengguna biasa?

Jawaban:


9

Dalam AD ada dua jenis operasi untuk mengubah kata sandi pengguna - perubahan , yang dapat dieksekusi secara anonim karena memerlukan kata sandi lama sebagai bagian dari permintaan, dan pengaturan ulang , yang tidak memerlukan kata sandi lama dan harus dilakukan oleh pengguna dengan akses untuk dapat mengatur ulang kata sandi untuk akun yang ditargetkan.

Dalam hal ini, aplikasi perangkat lunak melakukan operasi reset, tanpa sepengetahuan kata sandi lama pengguna tetapi sementara diotentikasi sebagai akun layanan dengan hak yang diperlukan.

Dari perspektif AD, kata sandi diatur ulang secara administratif; kata sandi sejarah tidak pernah diberlakukan dalam kasus ini, karena administrator yang melakukan reset seharusnya tidak mengetahui kata sandi lama pengguna - jika mereka memiliki kebiasaan mengatur pass baru untuk, katakanlah Thursday1, memiliki yang gagal memenuhi kebijakan operasi reset akan cukup membingungkan.

Sementara pengalaman pengguna yang buruk, mekanisme terbaik yang dapat saya pikirkan untuk menangani ini adalah memiliki aplikasi web mereset kata sandi (mungkin untuk sesuatu yang tidak mereka masukkan, baru saja dihasilkan) kemudian mengatur "harus mengubah kata sandi pada login berikutnya "Tandai pada akun untuk memaksa pengguna untuk segera melakukan operasi penggantian kata sandi, yang akan menegakkan sejarah.

Ada beberapa diskusi tentang menggunakan API LDAP di .Net untuk mencapai tujuan menegakkan riwayat pada jenis pengaturan ulang ini di sini , tapi saya tidak yakin apakah ini akan menjadi pilihan untuk Anda tergantung pada aplikasi yang Anda gunakan; jika Anda mengontrol kode dan pustaka LDAP yang Anda gunakan mendukung kontrol maka itu harus bisa dilakukan.


Dimungkinkan untuk menerapkan perubahan kata sandi, seperti yang Anda jelaskan, di aplikasi web. OWA melakukan ini, dan universitas saya memiliki aplikasi khusus yang juga melakukan ini. Ini mengharuskan pengguna untuk memasukkan kata sandi lama dan kata sandi baru dua kali, seperti standar. Saya tidak tahu pemrograman di belakangnya, itu akan menjadi topik yang paling cocok untuk SO.
Thomas

Berikut adalah aplikasi web shareware yang melakukan fungsi ini. Saya belum menguji dan TIDAK mendukung aplikasi ini, saya hanya membagikannya untuk menunjukkan bahwa fungsi itu memang ada. softpedia.com/get/Internet/Servers/Server-Tools/…
Thomas

@Thomas Tebakan saya adalah aplikasi yang digunakannya untuk mengatur ulang kata sandi swalayan ketika pengguna lupa kata sandi mereka (tetapi memiliki semacam auth yang diberlakukan oleh layanan web, seperti pertanyaan keamanan), yang akan membuat mekanisme "perubahan" tidak mungkin . Kalau tidak, pasti, cukup gunakan operasi perubahan!
Shane Madden

Saya mengerti - OP tidak menjelaskan apakah itu masalahnya, tetapi Anda mungkin benar.
Thomas
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.