Setzen Sie das Benutzerkennwort in Active Directory nach Domänenadministratorkonto oder anderem Dienstkonto zurück

In Active Directory können Sie Regeln festlegen und erzwingen, nach denen Benutzer ein sicheres Kennwort verwenden müssen, nicht die letzten 5+ Kennwörter verwenden können, die sie bereits hatten, und die Komplexität der Kennwörter erzwingen. Gibt es eine Möglichkeit, solche Einstellungen zu erzwingen, damit ein Dienstkonto (Webdienst zum Zurücksetzen des Kennworts), das versucht, ein neues Kennwort für den Benutzer festzulegen, anhand der Richtlinie überprüft und entweder akzeptiert oder abgelehnt wird?

Da das Dienstkonto eine Kennwortänderung erzwingt, kann der Benutzer anscheinend dasselbe Kennwort über die Weboberfläche eingeben und immer wieder dasselbe Kennwort verwenden. Da es sich um ein Dienstkonto handelt, das das Kennwort für ihn ändert, wird es nicht mit den zuletzt bekannten Kennwörtern verglichen, sodass die Kennwortregeln nicht durchgesetzt werden

Während der Programmierer eine Komplexitätsprüfung codieren könnte, kann die Prüfung der zuletzt verwendeten Kennwörter nicht auf der Weboberfläche überprüft werden, da der Webservice nicht über die Kenntnis der letzten Kennwörter verfügt.

Ist es möglich, dies so zu erzwingen, dass eine solche Änderung des Kennworts durch das Dienstkonto ebenfalls eingeschränkt wird, wie dies bei einer normalen Änderung des Benutzerkennworts der Fall wäre?

In AD gibt es zwei Arten von Vorgängen zum Ändern des Kennworts eines Benutzers: eine Änderung , die anonym ausgeführt werden kann, da das alte Kennwort als Teil der Anforderung erforderlich ist, und ein Zurücksetzen , für das das alte Kennwort nicht erforderlich ist und von ausgeführt werden muss Ein Benutzer mit Zugriff, um Kennwörter für das Zielkonto zurücksetzen zu können.

In diesem Fall führt die Softwareanwendung den Rücksetzvorgang ohne Kenntnis des alten Kennworts des Benutzers durch, wird jedoch vermutlich als Dienstkonto mit den erforderlichen Rechten authentifiziert.

Aus Sicht von AD wird das Kennwort administrativ zurückgesetzt. Der Kennwortverlauf wird in diesem Fall niemals erzwungen, da der Administrator, der das Zurücksetzen durchführt, die alten Kennwörter des Benutzers nicht kennen sollte - wenn er die Gewohnheit hat, den neuen Kennwort so Thursday1einzustellen, dass beispielsweise die Richtlinien für einen Rücksetzvorgang nicht eingehalten werden ziemlich verwirrend sein.

Während eine schlechte Benutzererfahrung vorliegt, ist der beste Mechanismus, den ich mir vorstellen kann, um dies zu handhaben, dass die Webanwendung das Kennwort zurücksetzt (möglicherweise auf etwas, das sie nicht eingeben, sondern nur generiert) und dann beim nächsten Anmelden das Kennwort "Kennwort muss geändert werden" festlegt "Flag auf dem Konto, um den Benutzer zu zwingen, sofort eine Kennwortänderungsoperation auszuführen, die den Verlauf erzwingt.

Es gibt einige Diskussionen über die Verwendung von LDAP-APIs in .Net, um das Ziel zu erreichen, den Verlauf dieser Art des Zurücksetzens hier zu erzwingen. Ich bin mir jedoch nicht sicher, ob dies je nach verwendeter Anwendung eine Option für Sie ist. Wenn Sie den Code steuern und die von Ihnen verwendete LDAP-Bibliothek Steuerelemente unterstützt, sollte dies möglich sein.