ADLDAPパスワードは不要
PASSWD_NOTREQDの設定が有効になっているADアカウントについて質問があります。この設定は正確に何をしますか?
私自身の調査によると、これによりアカウントは2つの方法のいずれかで機能するようです。A)アカウントの作成時にパスワードは不要で、パスワードポリシーを無視し、常に何も設定できないか、B)アカウントの作成時にパスワードは必要ありませんが、パスワードを変更する場合は、まだパスワードポリシーに従う必要があります。
誰かが私のためにこれにいくつかの光を当てることができますか?
ありがとう!
ユーザーのパスワードと更新
2番目の仮説はほぼ正しいです。
B)アカウントの作成時にパスワードは必要ありませんが、パスワードが変更された場合でも、パスワードポリシーに従う必要があります。
これを理解するために、ユーザーアカウントのパスワードの更新は、一見似ているが非常に異なる2つの操作で実行できることを理解してください。
- 設定パスワードによる
- これは管理ユーザーによって行われます
- 通常、ヘルプデスク担当者に委任された権限
userAccountControl設定に準拠する必要があります- パスワード履歴ポリシー設定に拘束されない
- パスワードの変更による
- これはユーザーが行います
- 通常、パスワードの有効期限が切れた後の最初の認証試行の一部
- パスワードポリシーおよび
userAccountControl設定に準拠する必要があります
つまり、管理者は、アカウントオブジェクトで許可されている場合、パスワードをnullに設定できます(つまり、管理者はset 。PASSWD_NOTREQDが設定されます)、適用されるパスワードポリシーや、パスワードが必要な期間に関係なく。
パスワードをnullに変更することはできません。ただし、「パスワードの変更」は、パスワードの設定を解除するのではなく、パスワードを置き換えることを意味します。パスワードを変更すると、新しいパスワードは有効なパスワードポリシーに対して検証されます。
覚えておくのが最も簡単な方法は、PasswordポリシーがPasswords --PASSWD_NOTREQD一方、パスワードを持たないことが許可されているかどうかの尺度です。この場合、ポリシーは関係ありません。
それは危険ですか?
PASSWORD_NOTREQDは危険なフラグのように見えるかもしれませんが、多くのメカニズムがnull-パスワード(または「空白のパスワード」)の使用を妨げるため、それ自体は有害ではありません。上記のように、ユーザーはデフォルトで自分のADユーザーパスワードの設定を解除できません。Windows(コンシューマーエディションとサーバーエディションも同様)は、デフォルトで空白のパスワードを持つユーザーの場合、ネットワーク経由のパスワード認証を拒否します。つまり、からのみログオンできます。コンソール。