您可以在安全套接字层 (SSL) 连接(使用 Ldp.exe)或加密的非 SSL 连接(使用 ADSI 编辑器或 Ldp.exe)上设置和修改 Active Directory 轻型目录服务 (AD LDS) 安全主体的密码。若要建立到 AD LDS 的 SSL 连接,必须在运行 AD LDS 的计算机和所有客户端上安装证书。若要对 AD LDS 实例进行 SSL 连接,必须使用 Ldp.exe,因为 ADSI 编辑器不支持 SSL 连接。
默认情况下,AD LDS 实例会自动强制实施已有的任何本地或域密码策略。如果新建了 AD LDS 用户,或者为该用户分配的密码不符合实际的密码策略的要求,则该用户会被禁用。
默认情况下,AD LDS 会支持并强制实施由 Windows Server 2008 R2 提供的密码策略设置和帐户锁定设置,包括下列各项:
最短存在时间
最长存在时间
复杂性
历史
失败的登录尝试次数过多
禁用和启用帐户
如果运行 AD LDS 的服务器属于某个工作组,则会采用该服务器的本地密码策略设置和帐户锁定设置。如果运行 AD LDS 的服务器属于某个域,则将实施 Active Directory 域服务 (AD DS) 的密码策略设置和帐户锁定设置。
AD LDS 实例的 Administrators 组中的成员身份是完成此过程所需的最低要求。默认情况下,在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中管理员组的成员。有关 AD LDS 组的详细信息,请参阅了解 AD LDS 用户和组。
设置或修改 AD LDS 用户的密码
使用 ADSI 编辑器
 | 使用 ADSI 编辑器设置或修改 AD LDS 用户的密码的步骤 |
打开 ADSI 编辑器。
连接并绑定到包含要设置或修改密码的 AD LDS 用户的目录分区中。有关详细信息,请参阅使用 ADSI 编辑器管理 AD LDS 实例。
浏览到代表该 AD LDS 用户的目录对象并右键单击它。
单击“重置密码”,然后在“新密码”和“确认密码”中为该用户键入一个密码。
其他注意事项
-
若要打开 ADSI 编辑器,请在已安装 AD LDS 服务器角色的计算机上,依次单击“开始”、“管理工具”和“ADSI 编辑器”。
通过加密的非 SSL 连接使用 LDP
| 通过在加密的、非 SSL 连接上使用 Ldp 来设置或修改 AD LDS 用户的密码的步骤 |
打开 Ldp。
在“选项”菜单中,单击“连接选项”。
在“选项名称”中,单击 LDAP_OPT_ENCRYPT。
在“值”中,键入 1,单击“设置”,然后单击“关闭”。
连接并绑定到 AD LDS 实例,然后查看包含要设置密码的 AD LDS 用户的目录分区。有关详细信息,请参阅使用 Ldp.exe 管理 AD LDS 实例。
右键单击 AD LDS 用户,然后单击“修改”。
在“属性”中,键入 userpassword,然后在“值”中为该帐户键入一个密码。
单击“输入”,然后单击“运行”。细节窗格将显示类似下面的消息:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
其他注意事项
-
若要打开 Ldp,请依次单击“开始”和“运行”,再键入 ldp,然后单击“确定”。
-
也可以使用 ADSI 编辑器设置或修改密码:在 ADSI 编辑器中右键单击代表 AD LDS 安全主体的目录对象,然后单击“重置密码”。
-
默认情况下,在 Windows Server 2008 R2 上运行的 AD LDS 实例会自动强制实施任何本地或域密码策略。如果为 AD LDS 用户设置了与实际密码策略的要求不符的密码,则系统会禁用该用户帐户。
-
设置或修改过其密码的 AD LDS 用户在下次登录时,必须使用新密码。
-
此过程适用于用作 AD LDS 中安全主体的任何对象类。只要 AD LDS 中的对象类定义包含 msDS-bindableobject 辅助类和 unicodePwd 属性,该对象类就可以用作安全主体。
-
默认情况下,AD LDS 架构中没有 user、person、inetOrgPerson 和 OrganizationalPerson 对象类。必须先导入它们。
- 还可以通过使用 Windows PowerShell 的 Active Directory 模块执行此过程中的任务。若要打开 Active Directory 模块,请依次单击「开始」、“管理工具”和 Windows PowerShell 的 Active Directory 模块。有关详细信息,请参阅“设置或修改 AD LDS 用户的密码”(
https://go.microsoft.com/fwlink/?LinkId=137818 )(可能为英文网页)。有关 Windows PowerShell 的详细信息,请参阅“Windows PowerShell”(https://go.microsoft.com/fwlink/?LinkID=102372 )(可能为英文网页)。
通过 SSL 连接使用 LDP
| 通过在 SSL 连接上使用 Ldp 来设置和修改 AD LDS 用户的密码的步骤 |
在运行 AD LDS 实例的计算机中安装服务器证书,并在管理 AD LDS 实例的计算机中安装匹配的客户端证书。
打开 LDP。
连接并绑定到包含要设置或修改密码的用户的 AD LDS 实例(在“连接”对话框中选择 SSL)。有关详细信息,请参阅使用 Ldp.exe 管理 AD LDS 实例。
右键单击 AD LDS 用户,然后单击“修改”。
在“属性”中,键入 userpassword,然后在“值”中为该帐户键入一个密码。
单击“输入”,然后单击“运行”。细节窗格将显示类似下面的消息:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
其他注意事项
-
若要打开 Ldp,请依次单击“开始”和“运行”,在“打开”中键入 ldp,然后单击“确定”。
-
建立 SSL 连接时需要在服务器和客户端上存在证书。
-
默认情况下,在 Windows Server 2008 R2 上运行的 AD LDS 实例会自动强制实施任何本地或域密码策略。如果为 AD LDS 用户设置了与实际密码策略的要求不符的密码,则系统会禁用该用户帐户。
-
如果 AD LDS 用户当前已经登录,则该用户必须注销后才能使新密码生效。
-
此过程适用于用作 AD LDS 中安全主体的任何对象类。只要 AD LDS 中的对象类定义包含 SecurityPrincipal 静态辅助类和 unicodePwd 属性,该对象类就可以用作安全主体。
-
默认情况下,AD LDS 架构中没有 user、person、inetOrgPerson 和 OrganizationalPerson 对象类。必须首先导入它们。有关详细信息,请参阅导入随 AD LDS 提供的用户类。