Active-Directory
AD LDAP 無需密碼
我有一個關於啟用了 PASSWD_NOTREQD 設置的 AD 帳戶的問題。這個設置具體是做什麼的?
根據我自己的研究,這似乎會導致該帳戶以兩種方式之一執行:A)創建帳戶時不需要密碼,它將忽略密碼策略並且始終可以設置為空或 B)創建帳戶時不需要密碼,但如果更改密碼,它仍必須遵循密碼策略。
任何人都可以為我解釋一下嗎?
謝謝!
使用者密碼和更新
您的第二個假設幾乎是正確的:
B) 創建帳戶時不需要密碼,但如果更改密碼,它仍必須遵循密碼策略。
為了理解這一點,請理解更新使用者帳戶密碼可以通過兩個看似相似但非常不同的操作來完成:
- 通過設置密碼
- 這是由管理使用者完成的
- 通常是授權給幫助台人員的權限
- 必須遵守
userAccountControl
設置- 不受密碼歷史記錄策略設置的約束
- 通過更改密碼
- 這是由使用者完成的
- 通常是密碼過期後首次身份驗證嘗試的一部分
- 必須遵守密碼政策和
userAccountControl
設置這意味著,如果您的帳戶對象允許(即已設置),管理員可以將您的密碼設置為,而不管適用的密碼策略和密碼需要多長時間。
null``PASSWD_NOTREQD
但是,您不能將密碼更改為*,*
null
因為“密碼更改”意味著您正在替換密碼,而不是取消設置密碼。更改密碼後,新密碼將根據有效的密碼策略進行驗證。我認為最容易記住的方法是密碼策略適用於密碼**-
PASSWD_NOTREQD
另一方面,是衡量您是否被允許沒有密碼的衡量標準 - 在這種情況下,該策略不再相關。危險嗎?
PASSWORD_NOTREQD
可能看起來像一個危險的標誌,但它本身並不有害,因為許多機制阻止使用null
-passwords(或“空白密碼”)。如上所述,預設情況下,使用者無法取消設置自己的 AD 使用者密碼,並且 Windows(消費者版和伺服器版等)將拒絕通過網路進行密碼驗證,預設情況下,對於密碼為空的使用者 - 這意味著您只能從安慰。