'nome de usuário do usuário net senha / domínio' parece permitir momentaneamente várias boas senhas

Question

'nome de usuário do usuário net senha / domínio' parece permitir momentaneamente várias boas senhas

#1 resposta do (0 votos)

1

Então, deixe-me iniciar essa pergunta dizendo que eu não sou um especialista em administração de domínio. Sou um programador que escreve aplicativos personalizados para a web.

Minha empresa deseja adicionar um recurso de redefinição de senha em nossa página de login na Intranet. Nosso back-end é o ColdFusion 9, que tem funcionalidade na linguagem que me permite acesso programático ao LDAP. Ao pesquisar o código para fazer esse trabalho de recurso de alteração de senha, ocorreu-me que seria muito mais fácil escrever código que executaria o seguinte:

net user <username> <password> /domain

Isto, claro, é feito depois de toda a verificação de senha antiga habitual e tal. O comando é executado como um usuário com os privilégios apropriados para isso, e realmente funciona muito bem.

No entanto, notei um problema que, após muita solução de problemas com um de nossos administradores de servidor, conseguimos reproduzir independentemente de qualquer código que eu tenha escrito.

O problema é que, uma vez executado o comando net user, tanto a senha antiga quanto a senha NEW são (por um intervalo de tempo indeterminado) boas senhas para a conta de usuário que está sendo alterada.

Isso mesmo. Se tivermos um usuário testuser com uma senha welcome e nós executarmos o seguinte:

net user testuser welcome2 /domain

Então, por um período de tempo indeterminado, conseguimos efetuar login no domínio usando "bem-vindo" ou "bem-vindo2" como senha. Agora, após esse intervalo de tempo indeterminado, a primeira senha pára de funcionar e a nova senha é deixada como a única senha de trabalho restante.

Isso NÃO acontece se executarmos o comando diretamente em um de nossos dois controladores de domínio, mas não é muito viável para mim que meu aplicativo da Web execute esse comando diretamente no PDC.

A única coisa em que consigo pensar é que existe um momento de propagação e que a alteração da senha NÃO é imediata como seria se fosse executada no próprio PDC.

Então, estou me perguntando ... esse comportamento é esperado? Se eu for a rota programática mais difícil de acessar o servidor LDAP diretamente e alterar a senha do usuário, provavelmente verei um problema de propagação semelhante?

Obrigado pela leitura.

command-line active-directory passwords

por Chris 06.01.2015 / 23:34

1 resposta

Tags command-line active-directory passwords

Recuperar arquivos apagados no armazenamento SSD / flash O parâmetro Set-AzureStorageAccount - GeoReplicationEnabled será descontinuado em uma versão futura

score 0 · Answer 1

Uma boa maneira de resolver seu problema - Programação de logon gui. Eu diria mais, existem soluções prontas para o problema de senhas esquecidas, que estão exatamente no caminho especificado.

Existe uma administração de sistema bidirecional de número de caminho, quando o departamento ou grupos de trabalho destacaram na UO uma determinada pessoa ou, em alguns casos, o chefe da unidade está autorizado a alterar as senhas na UO.

O seu caminho é bastante estranho, porque no caso de uma estação local no gui de logon custar mensagens do sistema e interceptar senhas só pode ser alterado por um driver de teclado, então, como no seu caso não é muito claro quanto ao A proteção por senha e a rejeição de seu serviço afetarão diretamente toda a empresa.

Em sua decisão, você precisa alterar sua senha em cada domínio ou executar a força de sincronização, o que não é muito bom. Talvez não o clima na estação de trabalho, qual dos domínios é a principal estação de trabalho. Isso pode ser feito para receber a senha com um controlador de domínio específico.

Em seguida, o agoritm será semelhante - lendo o servidor ldap com a maior prioridade, visualize os dns primários na estação de trabalho, navegue pelo log de segurança no controlador para determinar onde a estação recebe uma senha. Depois disso, o controlador em particular pode alterar a senha. Para reduzir as permissões necessárias, você pode criar o usuário e removê-lo do grupo Usuários e dos Usuários do Domínio e conceder permissões para somente leitura em certas ramificações do Registro. Trabalhar com logs de eventos é melhor usar uma indexação de banco de dados intermediária para pesquisa Disponível imediatamente e também fornecer acesso somente leitura ao usuário do banco de dados sem privilégios.

Ou tolere uma situação de 15 a 0 minutos).

Instalador do Serviço de Integração do ColdFusion 9 .NET

SAML, SSO e ColdFusion

Provedor de serviços SAML com coldfusion

ColdFusion / SAML (Parte 1)

Diretório ativo como LDAP

Entendendo o AD Proxy FS 2.0

Visão geral dos Serviços de diretório leve do Active Directory

Automatize a Ferramenta de Migração do Active Directory usando o Windows PowerShell

Migrando contas de usuários

Uma função para migrar um único usuário na Ferramenta de Migração do Active Directory, com base no script de exemplo Invoke-ADMTUserMigration.ps1

pequena offtop: Visão geral dos Serviços Corporativos de Conectividade no SharePoint 2013