도메인 관리자 계정 또는 기타 서비스 계정으로 Active Directory에서 사용자 비밀번호 재설정

Active Directory에서는 사용자가 강력한 암호를 사용해야하는 규칙을 설정하고 시행 할 수 있으며, 이미 보유한 마지막 5 개 이상의 암호를 사용할 수 없으며 암호의 복잡성을 강화합니다. 서비스 계정 (암호 재설정 웹 서비스)이 사용자에 대해 새 비밀번호를 설정하려고 시도 할 때 정책에 대해 확인되고 허용 또는 거부되도록 이러한 설정을 적용 할 수있는 방법이 있습니까?

서비스 계정이 비밀번호 변경을 강제하고 있기 때문에 사용자는 웹 인터페이스를 통해 동일한 비밀번호를 입력하고 동일한 비밀번호를 계속 반복해서 사용할 수 있습니다. 비밀번호를 변경하는 서비스 계정이므로 마지막으로 알려진 비밀번호와 비교하여 확인되지 않으므로 비밀번호 규칙이 적용되지 않습니다.

프로그래머가 복잡성 검사를 코딩 할 수는 있지만 웹 서비스는 마지막 암호에 대한 지식이 없기 때문에 웹 인터페이스에서 마지막으로 사용한 암호 확인을 확인할 수 없습니다.

서비스 계정에 의한 비밀번호 변경도 일반 사용자 비밀번호 변경과 같이 제한되도록 강제 설정할 수 있습니까?

AD에는 사용자 암호를 변경하는 두 가지 유형의 작업이 있습니다. 변경 은 요청의 일부로 이전 비밀번호가 필요하기 때문에 익명으로 실행할 수 있으며 이전 비밀번호 가 필요하지 않고 다음과 같이 수행해야하는 재설정입니다 . 대상 계정의 비밀번호를 재설정 할 수있는 액세스 권한이있는 사용자

이 경우 소프트웨어 응용 프로그램은 사용자의 이전 암호를 모르지만 필요한 권한이있는 서비스 계정으로 인증되는 동안 재설정 작업을 수행합니다.

AD의 관점에서 암호는 관리 상 재설정됩니다. 재설정을 수행하는 관리자가 사용자의 이전 비밀번호를 알고 있어야하므로 비밀번호 히스토리가 적용되지 않습니다. 예를 들어, 새 패스를 Thursday1재설정 작업에 대한 정책을 충족시키지 못하는 습관이있는 경우 매우 혼란스러워합니다.

사용자 경험이 좋지 않지만이 문제를 처리 할 수있는 가장 좋은 메커니즘은 웹 응용 프로그램이 암호를 재설정 (아직 입력하지 않은 것, 생성 된 것) 한 다음 "다음 로그인시 암호를 변경해야합니다"를 설정하는 것입니다. 계정에 "플래그를 지정하면 사용자가 즉시 비밀번호 변경 작업을 수행하여 기록이 적용됩니다.

이 리셋 이런 종류의 역사를 집행의 목표를 달성하기 위해 닷넷에서 LDAP API를 사용하는 몇 가지 논의의 이곳은 , 그러나 이것은 당신이 사용하고있는 응용 프로그램에 따라 대한 옵션이 될 것입니다 있는지 확실하지 않습니다; 코드를 제어하고 사용중인 LDAP 라이브러리가 제어를 지원하는 경우 가능해야합니다.