Az AD LDS rendszerbiztonsági tagjainak jelszavát SSL-kapcsolaton (az Ldp.exe eszközzel) vagy titkosított, nem SSL protokollt használó kapcsolaton keresztül (az ADSI-szerkesztő vagy az Ldp.exe eszközzel) állíthatja be és módosíthatja. Ha SSL-kapcsolatot szeretne létesíteni az AD LDS szolgáltatással, telepítse a megfelelő tanúsítványokat az AD LDS szolgáltatást futtató számítógépen, valamint az összes ügyfélszámítógépen. AD LDS-példányokkal csak az Ldp.exe eszköz használatával létesíthető SSL-kapcsolat, mert az ADSI-szerkesztő beépülő modul nem támogatja az ilyen típusú kapcsolatokat.
Alapértelmezés szerint az AD LDS-példányok automatikusan érvénybe léptetnek minden létező helyi és tartományi jelszóházirendet. Ha új AD LDS-felhasználó létrehozásakor olyan jelszót rendel hozzá, amely nem felel meg az érvényben lévő jelszóházirend követelményeinek, a rendszer letiltja a felhasználót.
Alapértelmezés szerint az AD LDS támogatja és kikényszeríti a Windows Server 2008 R2 rendszerben elérhető jelszóházirend-beállításokat és fiókzárolási beállításokat, köztük az alábbiakat is:
a jelszó minimális élettartama
a jelszó maximális élettartama
a jelszó összetettsége
jelszóhasználati előzmények
túl sok sikertelen bejelentkezési kísérlet
fiókok letiltása és engedélyezése
Ha az AD LDS szolgáltatást futtató kiszolgáló munkacsoport tagja, akkor a rendszer a kiszolgáló helyi jelszóházirend-beállításait és fiókzárolási beállításait alkalmazza. Ha az AD LDS szolgáltatást működtető kiszolgáló tartományhoz tartozik, a rendszer az Active Directory tartományi szolgáltatások (AD DS) jelszóházirend-beállításait és fiókzárolási beállításait használja.
Az eljárás végrehajtásához legalább az Active Directory Lightweight Directory-szolgáltatások példányának Rendszergazdák csoportjához kell tartoznia. Az AD LDS telepítése közben AD LDS-rendszergazdaként definiált rendszerbiztonsági tag alapértelmezés szerint egyben a konfigurációs partíció Rendszergazdák csoportjának tagja is lesz. További információt az AD LDS-csoportokról Az Active Directory Lightweight Directory-szolgáltatások felhasználóinak és csoportjainak ismertetése című témakörben talál.
Active Directory LDS-felhasználó jelszavának beállítása vagy módosítása
Az ADSI-szerkesztő használata
AD LDS-felhasználó jelszavának beállítása vagy módosítása az ADSI-szerkesztővel |
Nyissa meg az ADSI-szerkesztőt.
Létesítsen kapcsolatot, majd hozzon létre kötést azzal a címtárpartícióval, amelyen az az AD LDS-felhasználó található, akinek jelszavát be szeretné állítani vagy módosítani kívánja. További információkat a következő témakörben talál: Active Directory LDS-példány kezelése az ADSI-szerkesztővel.
Tallózással keresse meg az AD LDS-felhasználót jelölő címtárobjektumot, majd a jobb gombbal kattintson rá.
Kattintson a Jelszó alaphelyzetbe állítása parancsra, majd írja be a megadni kívánt jelszót az Új jelszó és a Jelszó megerősítése mezőbe.
További szempontok
-
Az ADSI-szerkesztő csak olyan számítógépen érhető el, amelyen telepítve van az AD LDS-kiszolgálói szerepkör. Az eszköz megnyitásához kattintson a Start gombra, mutasson a Felügyeleti eszközök pontra, majd kattintson az ADSI-szerkesztő parancsra.
Az Ldp eszközzel, titkosított, nem SSL típusú kapcsolaton keresztül
AD LDS-felhasználó jelszavának beállítása vagy módosítása az Ldp eszközzel, titkosított, nem SSL típusú kapcsolaton keresztül |
Nyissa meg az Ldp eszközt.
A Beállítások menüben kattintson A kapcsolat beállításai parancsra.
Kattintson a Beállítás neve mező LDAP_OPT_ENCRYPT elemére.
Az Érték mezőbe írja be az 1 értéket, és kattintson a Beállítás, majd a Bezárás gombra.
Létesítsen kapcsolatot, majd hozzon létre kötést az AD LDS-példánnyal, majd tekintse meg azt a címtárpartíciót, amelyen az az AD LDS-felhasználó található, akinek a jelszavát be szeretné állítani. További információt a következő témakörben talál: Active Directory LDS-példány kezelése az Ldp.exe paranccsal.
Kattintson a jobb gombbal az AD LDS-felhasználóra, majd válassza a Módosítás parancsot.
Írja be az Attribútum mezőbe a userpassword szót, majd az Értékek mezőbe a fiókhoz tartozó jelszót.
Kattintson a Bevitel, majd a Futtatás gombra. A jobb oldali ablaktáblán a következőhöz hasonló üzenet jelenik meg:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
További szempontok
-
Az Ldp megnyitásához kattintson a Start menü Futtatás parancsára, írja be az ldp parancsot, majd kattintson az OK gombra.
-
A jelszavakat az ADSI-szerkesztővel is beállíthatja vagy módosíthatja: kattintson a jobb gombbal arra a címtárobjektumra, amely az AD LDS rendszerbiztonsági tagot jelöli az ADSI-szerkesztőben, majd kattintson a Jelszó alaphelyzetbe állítása parancsra.
-
Alapértelmezés szerint a Windows Server 2008 R2 rendszerben működő AD LDS-példányok automatikusan érvénybe léptetnek minden helyi vagy tartományi jelszóházirendet. Ha az AD LDS-felhasználóhoz beállított jelszó nem felel meg az érvényben lévő jelszóházirend követelményeinek, a rendszer letiltja a felhasználói fiókot.
-
A beállított vagy módosított jelszót birtokló AD LDS-felhasználónak a legközelebbi bejelentkezéskor már az új jelszót kell használnia.
-
Ez az eljárás minden olyan objektumosztályra vonatkozik, amely rendszerbiztonsági tagként használatos az AD LDS szolgáltatásban. Az AD LDS bármely objektumosztálya mindaddig használható rendszerbiztonsági tagként, amíg az objektumosztály definíciója tartalmazza az msDS-bindableobject kiegészítő osztályt és a unicodePwd attribútumot.
-
Az AD LDS-séma alapértelmezés szerint nem tartalmazza a user, a person, az inetOrgPerson és az OrganizationalPerson objektumosztályt. E négy osztályt először importálni kell.
- Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra. További információt az Active Directory LDS-felhasználó jelszavának beállítása vagy módosítása című témakörben talál (
https://go.microsoft.com/fwlink/?LinkId=137818 (előfordulhat, hogy a lap angol nyelven jelenik meg) ). A Windows PowerShell beépülő modullal kapcsolatban a Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 (előfordulhat, hogy a lap angol nyelven jelenik meg) ) című témakörben talál további információt.
Az Ldp eszközzel SSL típusú kapcsolaton keresztül
AD LDS-felhasználó jelszavának beállítása vagy módosítása az Ldp eszközzel SSL típusú kapcsolaton keresztül |
Telepítsen egy kiszolgálói tanúsítványt az AD LDS-példányt futtató számítógépen, illetve egy megfelelő ügyféltanúsítványt azon a számítógépen, amelyről felügyelni szeretné az AD LDS-példányt.
Nyissa meg az Ldp eszközt.
Létesítsen kapcsolatot, majd hozzon létre kötést azzal az AD LDS-példánnyal, amely azt a felhasználót tartalmazza, akinek jelszavát meg kívánja adni vagy meg szeretné változtatni: válassza az SSL lehetőséget a Csatlakozás párbeszédpanelen. További információt a következő témakörben talál: Active Directory LDS-példány kezelése az Ldp.exe paranccsal.
Kattintson a jobb gombbal az AD LDS-felhasználóra, majd válassza a Módosítás parancsot.
Írja be az Attribútum mezőbe a userpassword szót, majd az Érték mezőbe a fiókhoz tartozó jelszót.
Kattintson a Bevitel, majd a Futtatás gombra. A jobb oldali ablaktáblán a következőhöz hasonló üzenet jelenik meg:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
További szempontok
-
Az Ldp megnyitásához kattintson a Start menü Futtatás parancsára, a Megnyitás mezőbe írja be az ldp parancsot, majd kattintson az OK gombra.
-
SSL-kapcsolat csak akkor létesíthető, ha a kiszolgálón és az ügyfélszámítógépeken tanúsítványok találhatók.
-
Alapértelmezés szerint a Windows Server 2008 R2 rendszerben működő AD LDS-példányok automatikusan érvénybe léptetnek minden helyi vagy tartományi jelszóházirendet. Ha az AD LDS-felhasználóhoz beállított jelszó nem felel meg az érvényben lévő jelszóházirend követelményeinek, a rendszer letiltja a felhasználói fiókot.
-
Ha az AD LDS-felhasználó be van jelentkezve, az új jelszó csak a kijelentkezés után lesz használható.
-
Ez az eljárás minden olyan objektumosztályra vonatkozik, amely rendszerbiztonsági tagként használatos az AD LDS szolgáltatásban. Az AD LDS bármely objektumosztálya mindaddig használható rendszerbiztonsági tagként, amíg az objektumosztály definíciója tartalmazza a SecurityPrincipal statikus kiegészítő osztályt és a unicodePwd attribútumot.
-
Az AD LDS-séma alapértelmezés szerint nem tartalmazza a user, a person, az inetOrgPerson és az OrganizationalPerson objektumosztályt. E négy osztályt először importálni kell. További információ: Az Active Directory Lightweight Directory-szolgáltatásokhoz készült felhasználói osztályok importálása.
További hivatkozások
-
A hitelesítés és a hozzáférés-vezérlés használata
-
Az Active Directory Lightweight Directory-szolgáltatások felhasználóinak és csoportjainak ismertetése
-
Active Directory LDS-példány kezelése az ADSI-szerkesztővel
-
Active Directory LDS-példány kezelése az Ldp.exe paranccsal
-
Az Active Directory Lightweight Directory-szolgáltatásokhoz készült felhasználói osztályok importálása