Hasła dla podmiotów zabezpieczeń usług LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) można ustawiać i modyfikować za pomocą połączeń protokołu SSL (przy użyciu programu Ldp.exe) oraz za pomocą połączeń szyfrowanych bez użycia protokołu SSL (za pomocą przystawki Edytor ADSI lub programu Ldp.exe). Aby nawiązać połączenie SSL z usługami LDS w usłudze AD, należy zainstalować certyfikaty na komputerze z usługami LDS w usłudze AD oraz na wszystkich komputerach klienckich. Aby utworzyć połączenie SSL z wystąpieniem usług LDS w usłudze AD, należy użyć programu Ldp.exe - przystawka Edytor ADSI nie obsługuje połączeń SSL.
Domyślnie wystąpienie usług LDS w usłudze AD automatycznie wymusza wszelkie istniejące zasady lokalne i zasady domeny dotyczące haseł. Jeśli hasło przypisane do nowo utworzonego użytkownika usług LDS w usłudze AD nie spełnia wymagań obowiązujących zasad haseł, użytkownik ten zostanie wyłączony.
Domyślnie usługi LDS w usłudze AD obsługują i wymuszają ustawienia zasad haseł oraz ustawienia blokady kont udostępniane przez system Windows Server 2008 R2, takie jak:
Minimalny okres ważności
Maksymalny okres ważności
Złożoność
Historia
Nadmierna liczba nieudanych prób logowania
Wyłączanie i włączanie kont komputerów
Jeśli serwer z uruchomionymi usługami LDS w usłudze AD należy do grupy roboczej, są stosowane lokalne ustawienia zasad haseł i blokad kont tego serwera. Jeśli serwer z uruchomionymi usługami LDS w usłudze AD należy do domeny, są stosowane ustawienia zasad haseł i blokad kont pobrane z usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services).
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy wystąpienia usług LDS w usłudze AD. Domyślnie podmiot zabezpieczeń określony jako administrator usług LDS w usłudze AD podczas instalacji tych usług staje się członkiem grupy Administratorzy w partycji konfiguracji. Aby uzyskać więcej informacji na temat grup usług LDS w usłudze AD, zobacz temat Opis użytkowników i grup usług LDS w usłudze AD.
Ustawianie i modyfikowanie hasła użytkownika usług LDS w usłudze AD
Przy użyciu przystawki Edytor ADSI
 | Aby ustawić lub zmodyfikować hasło użytkownika usług LDS w usłudze AD przy użyciu przystawki Edytor ADSI |
Otwórz przystawkę Edytor ADSI.
Nawiąż połączenie i utwórz powiązanie z partycją katalogu zawierającą użytkownika usług LDS w usłudze AD, dla którego ma zostać ustawione lub zmodyfikowane hasło. Aby uzyskać więcej informacji, zobacz temat Zarządzanie wystąpieniem usług LDS w usłudze AD za pomocą przystawki Edytor ADSI.
Przejdź do obiektu katalogu odpowiadającego właściwemu użytkownikowi usług LDS w usłudze AD, a następnie kliknij ten obiekt katalogu prawym przyciskiem myszy.
Kliknij przycisk Resetuj hasło, a następnie wpisz hasło użytkownika w polach Nowe hasło i Potwierdź hasło.
Uwagi dodatkowe
-
Aby otworzyć przystawkę Edytor ADSI, na komputerze z zainstalowaną rolą serwera usług LDS w usłudze AD kliknij przycisk Start, kliknij polecenie Narzędzia administracyjne, a następnie kliknij polecenie Edytor ADSI.
Przy użyciu narzędzia Ldp za pośrednictwem połączenia szyfrowanego bez protokołu SSL
| Aby ustawić lub zmodyfikować hasło użytkownika usług LDS w usłudze AD przy użyciu narzędzia Ldp, korzystając z zaszyfrowanego połączenia bez użycia protokołu SSL |
Otwórz narzędzie Ldp.
W menu Opcje kliknij polecenie Opcje połączenia.
Na liście rozwijanej Nazwa opcji kliknij pozycję LDAP_OPT_ENCRYPT.
W polu Wartość wpisz 1, kliknij przycisk Ustaw, a następnie kliknij przycisk Zamknij.
Nawiąż połączenie i utwórz powiązanie z wystąpieniem usług LDS w usłudze AD, a następnie wyświetl partycję katalogu zawierającą użytkownika usług LDS w usłudze AD, dla którego ma zostać ustawione hasło. Aby uzyskać więcej informacji, zobacz temat Zarządzanie wystąpieniem usług LDS w usłudze AD za pomocą programu Ldp.exe.
Kliknij prawym przyciskiem myszy użytkownika usług LDS w usłudze AD, a następnie kliknij polecenie Modyfikuj.
W polu Atrybut wpisz ciąg userpassword, a następnie w polu Wartość wpisz hasło dla tego konta.
Kliknij przycisk Wprowadź, a następnie kliknij przycisk Uruchom. W okienku szczegółów zostanie wyświetlony komunikat podobny do następującego:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
Uwagi dodatkowe
-
Aby otworzyć program Ldp, należy kliknąć przycisk Start, kliknąć polecenie Uruchom, wpisać polecenie ldp, a następnie kliknąć przycisk OK.
-
Do ustawiania lub modyfikowania haseł można również używać przystawki Edytor ADSI: należy kliknąć prawym przyciskiem myszy obiekt katalogu odpowiadający podmiotowi zabezpieczeń usług LDS w usłudze AD w przystawce Edytor ADSI, a następnie kliknąć polecenie Resetuj hasło.
-
Domyślnie wystąpienie usług LDS w usłudze AD uruchomione w systemie Windows Server 2008 R2 automatycznie wymusza wszelkie zasady lokalne i zasady domeny dotyczące haseł. Jeśli dla użytkownika usług LDS w usłudze AD zostanie ustawione hasło, które nie spełnia wymagań obowiązujących zasad haseł, konto tego użytkownika zostanie wyłączone.
-
Użytkownik usług LDS w usłudze AD, którego hasło zostało ustawione lub zmodyfikowane, musi użyć nowego hasła przy następnym logowaniu.
-
Ta procedura ma zastosowanie do wszystkich klas obiektów, które są używane jako podmioty zabezpieczeń w usługach LDS w usłudze AD. Podmiotem zabezpieczeń w usługach LDS w usłudze AD może być dowolna klasa obiektu, jeśli definicja tej klasy obiektu zawiera klasę pomocniczą msDS-bindableobject i atrybut unicodePwd.
-
Klasy obiektów user, person, inetOrgPerson oraz OrganizationalPerson nie są domyślnie dostępne w schemacie usług LDS w usłudze AD. Należy je najpierw zaimportować.
- Zadanie opisane w niniejszej procedurze można również wykonać przy użyciu programu Moduł usługi Active Directory dla środowiska Windows PowerShell. Aby otworzyć program Moduł usługi Active Directory, kliknij przycisk Start, kliknij opcję Narzędzia administracyjne, a następnie kliknij polecenie Moduł usługi Active Directory dla środowiska Windows PowerShell. Aby uzyskać więcej informacji, zobacz artykuł o ustawianiu i modyfikowaniu hasła użytkownika usług LDS w usłudze AD (
https://go.microsoft.com/fwlink/?LinkId=137818 (strona może zostać wyświetlona w języku angielskim) ). Więcej informacji o środowisku Windows PowerShell można znaleźć na poświęconej mu stronie (https://go.microsoft.com/fwlink/?LinkID=102372 (strona może zostać wyświetlona w języku angielskim) ).
Przy użyciu narzędzia Ldp za pośrednictwem połączenia SSL
| Aby ustawić lub zmodyfikować hasło użytkownika usług LDS w usłudze AD przy użyciu narzędzia Ldp, korzystając z połączenia SSL |
Na komputerze z uruchomionym wystąpieniem usług LDS w usłudze AD zainstaluj certyfikat serwera, a na komputerze, z poziomu którego jest administrowane wystąpienie usług LDS w usłudze AD, zainstaluj odpowiedni certyfikat klienta.
Otwórz narzędzie Ldp.
Nawiąż połączenie i utwórz powiązanie z wystąpieniem usług LDS w usłudze AD (wybierz opcję SSL w oknie dialogowym Łączenie) zawierającym użytkownika, dla którego ma zostać ustawione lub zmodyfikowane hasło. Aby uzyskać więcej informacji, zobacz temat Zarządzanie wystąpieniem usług LDS w usłudze AD za pomocą programu Ldp.exe.
Kliknij prawym przyciskiem myszy użytkownika usług LDS w usłudze AD, a następnie kliknij polecenie Modyfikuj.
W polu Atrybut wpisz ciąg userpassword, a następnie w polu Wartość wpisz hasło dla tego konta.
Kliknij przycisk Wprowadź, a następnie kliknij przycisk Uruchom. W okienku szczegółów zostanie wyświetlony komunikat podobny do następującego:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
Uwagi dodatkowe
-
Aby otworzyć program Ldp, należy kliknąć przycisk Start, kliknąć polecenie Uruchom, w polu Otwórz wpisać polecenie ldp, a następnie kliknąć przycisk OK.
-
Do nawiązywania połączeń SSL są wymagane certyfikaty na serwerze i na klientach.
-
Domyślnie wystąpienie usług LDS w usłudze AD uruchomione w systemie Windows Server 2008 R2 automatycznie wymusza wszelkie zasady lokalne i zasady domeny dotyczące haseł. Jeśli dla użytkownika usług LDS w usłudze AD zostanie ustawione hasło, które nie spełnia wymagań obowiązujących zasad haseł, konto tego użytkownika zostanie wyłączone.
-
Jeśli użytkownik usług LDS w usłudze AD jest obecnie zalogowany, musi się wylogować, aby nowe hasło zaczęło obowiązywać.
-
Ta procedura ma zastosowanie do wszystkich klas obiektów, które są używane jako podmioty zabezpieczeń w usługach LDS w usłudze AD. Podmiotem zabezpieczeń w usługach LDS w usłudze AD może być dowolna klasa obiektu, jeśli definicja tej klasy obiektu zawiera statyczną klasę pomocniczą SecurityPrincipal i atrybut unicodePwd.
-
Klasy obiektów user, person, inetOrgPerson oraz OrganizationalPerson nie są domyślnie dostępne w schemacie usług LDS w usłudze AD. Należy je najpierw zaimportować. Aby uzyskać więcej informacji, zobacz temat Importowanie klas użytkowników dostarczanych z usługami LDS w usłudze AD.
Dodatkowe informacje
-
Praca z uwierzytelnianiem i kontrolą dostępu
-
Opis użytkowników i grup usług LDS w usłudze AD
-
Zarządzanie wystąpieniem usług LDS w usłudze AD za pomocą przystawki Edytor ADSI
-
Zarządzanie wystąpieniem usług LDS w usłudze AD za pomocą programu Ldp.exe
-
Importowanie klas użytkowników dostarczanych z usługami LDS w usłudze AD