web-dev-qa-db-ja.com

ADLDAPパスワードは不要

PASSWD_NOTREQDの設定が有効になっているADアカウントについて質問があります。この設定は正確に何をしますか?

私自身の調査によると、これによりアカウントは2つの方法のいずれかで機能するようです。A)アカウントの作成時にパスワードは不要で、パスワードポリシーを無視し、常に何も設定できないか、B)アカウントの作成時にパスワードは必要ありませんが、パスワードを変更する場合は、まだパスワードポリシーに従う必要があります。

誰かが私のためにこれにいくつかの光を当てることができますか?

ありがとう!

2
Andrew

ユーザーのパスワードと更新

2番目の仮説はほぼ正しいです。

B)アカウントの作成時にパスワードは必要ありませんが、パスワードが変更された場合でも、パスワードポリシーに従う必要があります。

これを理解するために、ユーザーアカウントのパスワードの更新は、一見似ているが非常に異なる2つの操作で実行できることを理解してください。

  1. 設定パスワードによる
    • これは管理ユーザーによって行われます
    • 通常、ヘルプデスク担当者に委任された権限
    • userAccountControl設定に準拠する必要があります
    • パスワード履歴ポリシー設定に拘束されない
  2. パスワードの変更による
    • これはユーザーが行います
    • 通常、パスワードの有効期限が切れた後の最初の認証試行の一部
    • パスワードポリシーおよびuserAccountControl設定に準拠する必要があります

つまり、管理者は、アカウントオブジェクトで許可されている場合、パスワードをnullに設定できます(つまり、管理者はsetPASSWD_NOTREQDが設定されます)、適用されるパスワードポリシーや、パスワードが必要な期間に関係なく。

パスワードをnull変更することはできません。ただし、「パスワードの変更」は、パスワードの設定を解除するのではなく、パスワードを置き換えることを意味します。パスワードを変更すると、新しいパスワードは有効なパスワードポリシーに対して検証されます。

覚えておくのが最も簡単な方法は、PasswordポリシーがPasswords --PASSWD_NOTREQD一方、パスワードを持たないことが許可されているかどうかの尺度です。この場合、ポリシーは関係ありません。


それは危険ですか?

PASSWORD_NOTREQDは危険なフラグのように見えるかもしれませんが、多くのメカニズムがnull-パスワード(または「空白のパスワード」)の使用を妨げるため、それ自体は有害ではありません。上記のように、ユーザーはデフォルトで自分のADユーザーパスワードの設定を解除できません。Windows(コンシューマーエディションとサーバーエディションも同様)は、デフォルトで空白のパスワードを持つユーザーの場合、ネットワーク経由のパスワード認証を拒否します。つまり、からのみログオンできます。コンソール。

3