'net user <Benutzername> <Passwort> / Domain' scheint momentan mehrere gute Passwörter zuzulassen

1

Lassen Sie mich vorab sagen, dass ich kein Domainadministrationsexperte bin. Ich bin ein Programmierer, der benutzerdefinierte Anwendungen für das Web schreibt.

Mein Unternehmen möchte auf unserer Intranet-Anmeldeseite eine Funktion zum Zurücksetzen von Passwörtern hinzufügen. Unser Backend ist ColdFusion 9 mit Funktionen in der Sprache, die mir den programmgesteuerten Zugriff auf LDAP ermöglichen. Als ich nachforschte, wie der Code geschrieben werden kann, damit diese Funktion zum Ändern des Kennworts funktioniert, stellte ich fest, dass es viel einfacher ist, Code zu schreiben, der Folgendes ausführt:

net user <username> <password> /domain

Dies erfolgt natürlich nach all den üblichen alten Passwortprüfungen und so weiter. Der Befehl wird als Benutzer mit den entsprechenden Berechtigungen ausgeführt und funktioniert wirklich hervorragend.

Es ist mir jedoch ein Problem aufgefallen, dass wir nach vielen Problemen mit einem unserer Serveradministratoren in der Lage waren, unabhängig von dem von mir geschriebenen Code zu reproduzieren.

Das Problem ist, dass nach Ausführung des Befehls net user sowohl das ALTE als auch das NEUE Kennwort (für einen unbestimmten Zeitraum) gute Kennwörter für das zu ändernde Benutzerkonto sind.

Stimmt. Wenn wir einen Benutzer " testuser" mit dem Kennwort " welcome" haben und Folgendes ausführen:

net user testuser welcome2 /domain

Dann können wir uns für eine unbestimmte Zeit erfolgreich bei der Domain anmelden, indem wir entweder "welcome" oder "welcome2" als Passwort verwenden. Nach diesem unbestimmten Zeitraum funktioniert das erste Passwort nicht mehr und das neue Passwort bleibt als einziges funktionierendes Passwort übrig.

Dies ist NICHT der Fall, wenn der Befehl direkt auf einem unserer beiden Domänencontroller ausgeführt wird. Es ist jedoch nicht möglich, dass meine Webanwendung den Befehl direkt auf dem PDC ausführt.

Das einzige, woran ich denken kann, ist, dass es eine Ausbreitungszeit gibt und dass die Kennwortänderung NICHT unmittelbar erfolgt, wie es der Fall wäre, wenn sie auf dem PDC selbst ausgeführt würde.

Also frage ich mich ... ist das erwartetes Verhalten? Wenn ich den schwierigeren programmgesteuerten Weg eingeschlagen habe, direkt auf den LDAP-Server zuzugreifen und das Kennwort des Benutzers zu ändern, kann ich wahrscheinlich ein ähnliches Problem bei der Weitergabe feststellen?

Danke fürs Lesen.

command-line passwords active-directory Chris
quelle
2
support.microsoft.com/KB/128489
STTR
Ich habe den größten Teil des KB-Artikels @STTR nicht verstanden, aber die letzten Absätze scheinen der Grund zu sein, warum Sie überhaupt auf den Artikel hingewiesen haben ... denke ich. Hat jemand anderes etwas Wichtiges zum Thema des programmgesteuerten Änderns von Active Directory-Kennwörtern über das Web?
Chris
Mein Serveradministrator teilt mir außerdem mit, dass sich unser Unternehmen NICHT in einer Vertrauenssituation mit zwei Domänen befindet, über die in diesem Artikel gesprochen wird. Ich habe ehrlich gesagt nicht gedacht, dass wir es sind, aber er hat es jetzt für mich bestätigt. Wir haben nur eine Domäne, aber wir haben mehrere Domänencontroller.
Chris
In den alten MSDN Library-Artikeln, die in Visual Studio veröffentlicht wurden, ist eine Menge Wahrheit enthalten, die sowohl in diesem Artikel als auch in diesem Artikel angezeigt und angepasst werden kann. Replikationsmechanismus ähnliches Intervall von 15 Minuten. Nun, der Link zur offiziellen Quelle. support.microsoft.com/kb/214678
STTR
Gerade ist Ihnen Ihr Link zu diesem anderen KB-Artikel aufgefallen. Ich werde es jetzt lesen. Nochmals vielen Dank für Ihre Hilfe. :)
Chris

Antworten:

0

Ein guter Weg, um Ihr Problem zu lösen - Programmieren Anmelde-GUI. Ich würde mehr sagen, es gibt fertige Lösungen für das Problem vergessener Passwörter, die genau am angegebenen Pfad liegen.

Es gibt eine Zweiwege-Systemadministration mit Pfadnummer, wenn die in der Organisationseinheit markierte Abteilung oder Arbeitsgruppe eine bestimmte Person oder in einigen Fällen der Leiter der Einheit berechtigt ist, Kennwörter in der Organisationseinheit zu ändern.

Ihr Weg ist recht seltsam, denn bei einer lokalen Station in der GUI-Anmeldung können Systemmeldungen und Intercept-Passwörter nur von einem Tastaturtreiber geändert werden, da in Ihrem Fall nicht sehr klar ist, wie der Passwortschutz und Die Ablehnung Ihrer Dienstleistung wirkt sich direkt auf das gesamte Unternehmen aus.

Bei Ihrer Entscheidung müssen Sie Ihr Kennwort in jeder Domäne ändern oder die Synchronisierung erzwingen, was nicht sehr gut ist. Möglicherweise nicht die Stimmung auf der Arbeitsstation, welche der Domänen die Hauptarbeitsstation ist. Dies kann erfolgen, indem zunächst das Kennwort mit einem bestimmten Domänencontroller empfangen wird.

Dann sieht es so aus: Lesen Sie den LDAP-Server mit der höchsten Priorität, zeigen Sie die primären DNS auf der Workstation an, durchsuchen Sie das Sicherheitsprotokoll auf dem Controller, um festzustellen, wo die Station ein Kennwort erhält. Danach kann der jeweilige Controller das Passwort ändern. Um die erforderlichen Berechtigungen zu verringern, können Sie den Benutzer erstellen und aus der Benutzergruppe und den Domänenbenutzern entfernen sowie Berechtigungen erteilen, die nur in bestimmten Zweigen der Registrierung gelesen werden dürfen. Um mit Ereignisprotokollen zu arbeiten, verwenden Sie besser eine Zwischendatenbank-Indizierung für die Suche. Sofort verfügbar und gewähren Sie nichtprivilegierten Datenbankbenutzern nur Lesezugriff.

Oder tolerieren Sie eine Situation von 15 bis 0 Minuten).

Installationsprogramm für ColdFusion 9 .NET Integration Service

SAML, SSO und ColdFusion

SAML-Dienstanbieter mit Coldfusion

ColdFusion / SAML (Teil 1)

Active Directory als LDAP

Grundlegendes zum AD FS 2.0-Proxy

Übersicht über Active Directory Lightweight Directory-Dienste

Automatisieren Sie das Active Directory-Migrationstool mit Windows PowerShell

Benutzerkonten migrieren

Eine Funktion zum Migrieren eines einzelnen Benutzers im Active Directory-Migrationstool basierend auf dem Beispielskript Invoke-ADMTUserMigration.ps1

Small Offtop: Übersicht über Business Connectivity Services in SharePoint 2013

STTR
quelle
1
Vielen Dank für Ihre detailliertere Antwort, @STTR. Der Grund dafür ist, dass wir in meinem Unternehmen eine Gruppe von Nicht-Firmenbenutzern haben, deren Workstations keine direkte Verbindung zu unserer Domain herstellen, sondern lediglich über das Web auf unser Firmen-Intranet zugreifen und ein Domänenkonto / -kennwort erforderlich ist Einloggen. Die Option für diese Benutzer, ihr Passwort zu ändern oder ein Passwort zurückzusetzen (aus welchem ​​Grund auch immer - normalerweise weil ein Mitarbeiter entlassen wurde), besteht darin, ein Ticket bei unserem Helpdesk zu eröffnen. Mein Ziel ist es, die Anzahl der Tickets für unseren Helpdesk zu reduzieren, indem dieser Prozess mehr Selbstbedienung bietet.
Chris
Das ist der Hintergrund, warum ich diesen zugegebenermaßen seltsamen Weg gehe. Die betreffenden Workstations melden sich nicht bei unserer Domain an und können daher ihr Passwort nicht auf herkömmliche Weise ändern. Es hört sich so an, als würden Sie mir sagen, dass ich dies entweder auf etwas kompliziertere Weise tun muss (was ich denke, dass ich tun kann) oder dass ich akzeptieren muss, dass das alte Passwort für einen Zeitraum von 0 bis 15 Minuten nach einer Passwortänderung möglicherweise immer noch gültig ist aktiv sein, während es sich durch das System ausbreitet. Klingt das ungefähr richtig?
Chris
help.adobe.com/en_US/ColdFusion/9.0/CFMLRef/… und houseoffusion.com/groups/cf-talk/thread.cfm/threadid:50152
STTR
Ja. Diese ColdFusion-spezifischen Threads waren mir bereits vollständig bekannt. Ich habe Sie nicht wirklich gefragt, wie Sie dies in meiner vorgegebenen Sprache erreichen sollen. Ich habe wirklich nur nach der offensichtlichen Verzögerung gefragt, wenn ich den Befehl 'net user' verwende. Tatsächlich war das Letzte, was ich gefragt habe, eine Ja- oder Nein-Frage. Stattdessen haben Sie Ihre Antwort mit einer Handvoll Links zu migrierenden Benutzern, SAML, Power Shell-Migrationstools und ColdFusion usw. aktualisiert Ich habe versucht, eine Frage zu beantworten, die ich nicht gestellt habe. Trotzdem danke für deine Mühe. Wir haben gerade beschlossen, mit der Verzögerung der Ausbreitung zu leben.
Chris