Redefina a senha de usuários no Active Directory por conta de Administrador de Domínio ou outra conta de serviço

8

No Active Directory, você pode definir e impor regras nas quais os usuários precisam usar senhas strongs, não podem usar as últimas 5 ou mais senhas que já possuíam, impor a complexidade das senhas. Existe uma maneira de impor essas configurações para que, se uma conta de serviço (serviço da web de redefinição de senha) tentar definir uma nova senha para o usuário, ela seja verificada na política e seja aceita ou negada?

Parece que, como a conta de serviço está forçando a alteração de senha, o usuário pode digitar a mesma senha por meio da interface da web e continuar usando a mesma senha várias vezes. Como é uma conta de serviço que altera a senha para ele, ela não é verificada em relação às últimas senhas conhecidas, portanto, as regras de senha não são aplicadas

Embora o programador possa codificar uma verificação de complexidade, a verificação das últimas senhas usadas não pode ser verificada na interface da web porque o serviço web não tem o conhecimento das últimas senhas.

É possível forçá-lo para que essa alteração da senha por conta de serviço também seja restrita, como a alteração normal da senha do usuário seria?

    
por MadBoy 29.05.2014 / 16:59

1 resposta

9

No AD, há dois tipos de operações para alterar a senha de um usuário - uma alteração , que pode ser executada anonimamente porque exige a senha antiga como parte da solicitação e uma redefinição , que não requer a senha antiga e deve ser feito por um usuário com acesso para poder redefinir as senhas da conta que está sendo segmentada.

Neste caso, o aplicativo de software está executando a operação de reinicialização, sem conhecimento da senha antiga do usuário, mas autenticado como presumivelmente uma conta de serviço com os direitos necessários.

Do ponto de vista do AD, a senha está sendo redefinida administrativamente; o histórico de senhas nunca é aplicado nesse caso, já que o administrador que está fazendo a redefinição não deve saber as senhas antigas do usuário - se elas tiverem o hábito de configurar o novo passe para, digamos, Thursday1 , operação de reset seria bastante confusa.

Apesar de uma má experiência do usuário, o melhor mecanismo que posso pensar para lidar com isso seria fazer com que o aplicativo da Web redefinisse a senha (talvez algo que não entrasse, apenas gerasse) e depois definisse "deve alterar a senha no próximo login "sinalize na conta para forçar o usuário a fazer imediatamente uma operação de alteração de senha, que aplicará o histórico.

Há alguma discussão sobre o uso de APIs LDAP no .Net para atingir o objetivo de impor o histórico nesse tipo de redefinição aqui , mas não tenho certeza se esta será uma opção para você, dependendo do aplicativo que você está usando; se você controlar o código e a biblioteca LDAP que você está usando suportar controles, isso deve ser possível.

    
por 29.05.2014 / 17:15