PASSWD_NOTREQDの設定が有効になっているADアカウントについて質問があります。この設定は正確に何をしますか?
私自身の調査によると、これによりアカウントは2つの方法のいずれかで機能するようです。A)アカウントの作成時にパスワードは不要で、パスワードポリシーを無視し、常に何も設定できないか、B)アカウントの作成時にパスワードは必要ありませんが、パスワードを変更する場合は、まだパスワードポリシーに従う必要があります。
誰かが私のためにこれにいくつかの光を当てることができますか?
ありがとう!
2番目の仮説はほぼ正しいです。
B)アカウントの作成時にパスワードは必要ありませんが、パスワードが変更された場合でも、パスワードポリシーに従う必要があります。
これを理解するために、ユーザーアカウントのパスワードの更新は、一見似ているが非常に異なる2つの操作で実行できることを理解してください。
userAccountControl
設定に準拠する必要がありますuserAccountControl
設定に準拠する必要がありますつまり、管理者は、アカウントオブジェクトで許可されている場合、パスワードをnull
に設定できます(つまり、管理者はset 。PASSWD_NOTREQD
が設定されます)、適用されるパスワードポリシーや、パスワードが必要な期間に関係なく。
パスワードをnull
に変更することはできません。ただし、「パスワードの変更」は、パスワードの設定を解除するのではなく、パスワードを置き換えることを意味します。パスワードを変更すると、新しいパスワードは有効なパスワードポリシーに対して検証されます。
覚えておくのが最も簡単な方法は、PasswordポリシーがPasswords --PASSWD_NOTREQD
一方、パスワードを持たないことが許可されているかどうかの尺度です。この場合、ポリシーは関係ありません。
PASSWORD_NOTREQD
は危険なフラグのように見えるかもしれませんが、多くのメカニズムがnull
-パスワード(または「空白のパスワード」)の使用を妨げるため、それ自体は有害ではありません。上記のように、ユーザーはデフォルトで自分のADユーザーパスワードの設定を解除できません。Windows(コンシューマーエディションとサーバーエディションも同様)は、デフォルトで空白のパスワードを持つユーザーの場合、ネットワーク経由のパスワード認証を拒否します。つまり、からのみログオンできます。コンソール。