Active Directoryでは、ユーザーが強力なパスワードを使用する必要があり、ユーザーが既に持っている最後の5個以上のパスワードを使用できず、パスワードの複雑さを強制するルールを設定して適用できます。サービスアカウント(パスワードリセットWebサービス)がユーザーの新しいパスワードを設定しようとした場合、ポリシーに対してチェックされ、受け入れられるか拒否されるように、このような設定を適用する方法はありますか?
サービスアカウントがパスワード変更を強制しているため、ユーザーはWebインターフェースを介して同じパスワードを入力し、何度も同じパスワードを使い続けることができます。それは彼のパスワードを変更するサービスアカウントであるため、最後の既知のパスワードに対してチェックされないため、パスワードのルールは適用されません。
プログラマーは複雑さのチェックをコーディングすることができますが、使用された最後のパスワードをチェックすることはできません。
通常のユーザーパスワードの変更と同様に、サービスアカウントによるパスワードの変更も制限されるように強制することはできますか?
回答:
- ADでユーザのパスワードを変更する操作の2種類があります変更、それは要求の一部として古いパスワードを必要とするため、匿名で実行することができ、およびリセット、古いパスワードを必要とせず、によって行われなければなりません対象のアカウントのパスワードをリセットできるアクセス権を持つユーザー。
この場合、ソフトウェアアプリケーションは、ユーザーの古いパスワードを知らなくてもリセット操作を実行していますが、おそらく必要な権限を持つサービスアカウントとして認証されています。
ADの観点から、パスワードは管理上リセットされています。この場合、リセットを実行する管理者はユーザーの古いパスワードを知る必要がないため、パスワードの履歴は適用されません。たとえば、新しいパスをに設定する癖がある場合Thursday1、リセット操作のポリシーに適合しないと、かなり混乱します。
ユーザーエクスペリエンスは悪いですが、これを処理するために考えられる最良のメカニズムは、Webアプリケーションでパスワードをリセットし(おそらく、ユーザーが入力せず、生成したばかりのもの)、次に「次回のログイン時にパスワードを変更する必要があります」 "アカウントにフラグを立てて、ユーザーにパスワード変更操作をすぐに強制的に実行させると、履歴が適用されます。
そこリセットのこの種類に歴史を強制するという目標を達成するために.NETのLDAP APIを使用していくつかの議論だここでは、これはあなたが使用しているアプリケーションに応じてのオプションになりますかどうかはわかりません。使用しているコードとLDAPライブラリをサポートするコントロールをサポートしている場合、それは実行可能であるはずです。