您可以設定及修改透過安全通訊端層 (SSL) 連線 (使用 Ldp.exe) 或是透過加密非 SSL 連線 (使用 [ADSI 編輯器] 或 Ldp.exe) 的 Active Directory 輕量型目錄服務 (AD LDS) 安全性主體密碼。若要建立與 AD LDS 的 SSL 連線,則必須在執行 AD LDS 的電腦上以及所有用戶端上安裝憑證。若要建立與 AD LDS 執行個體的多個 SSL 連線,則必須使用 Ldp.exe,[ADSI 編輯器] 不支援 SSL 連線。
AD LDS 執行個體預設會自動強制執行任何現有的本機或網域密碼原則。如果建立新的 AD LDS 使用者,而且指派給該使用者的密碼不符合作用中密碼原則的需求,則會停用該使用者。
根據預設值,AD LDS 會支援及強制執行 Windows Server 2008 R2 提供的密碼原則設定與帳戶鎖定設定,其中包含:
最短使用期限
最長使用期限
複雜性
歷程記錄
已超過失敗的登入嘗試次數上限
停用及啟用帳戶
如果執行 AD LDS 的伺服器屬於工作群組,則會實作伺服器的本機密碼原則設定與帳戶鎖定設定。如果執行 AD LDS 的伺服器屬於網域,則會實作 Active Directory 網域服務 (AD DS) 的密碼原則設定與帳戶鎖定設定。
若要完成此程序,至少需要 AD LDS 執行個體 Administrators 群組的成員資格。依預設,在 AD LDS 安裝期間指定為 AD LDS 系統管理員的安全性主體,會變成設定磁碟分割中 Administrators 群組的成員。如需 AD LDS 群組的相關資訊,請參閱了解 AD LDS 使用者和群組。
設定或修改 AD LDS 使用者的密碼
使用 ADSI 編輯器
 | 使用 ADSI 編輯器設定或修改 AD LDS 使用者的密碼 |
開啟 ADSI 編輯器。
連線並繫結內含想要設定或修改密碼之 AD LDS 使用者的目錄分割。如需相關資訊,請參閱使用 ADSI 編輯器管理 AD LDS 執行個體。
瀏覽到代表 AD LDS 使用者的目錄物件,然後在目錄物件上按一下滑鼠右鍵。
按一下 [重設密碼],然後在 [新密碼] 及 [確認密碼] 中輸入使用者的密碼。
其他考量
-
若要開啟 ADSI 編輯器,請在已安裝 AD LDS 伺服器角色的電腦上,依序按一下 [開始] 及 [系統管理工具],然後按一下 [ADSI 編輯器]。
在加密的非 SSL 連線上使用 Ldp
| 使用 Ldp 透過加密非 SSL 連線來設定或修改 AD LDS 使用者的密碼 |
開啟 Ldp。
在 [選項] 功能表上按一下 [連線選項]。
在 [選項名稱] 中按一下 [LDAP_OPT_ENCRYPT]。
在 [值] 中輸入 1,按一下 [設定],然後按一下 [關閉]。
連線並繫結 AD LDS 執行個體,然後檢視內含想要設定密碼之 AD LDS 使用者的目錄分割。如需相關資訊,請參閱使用 Ldp.exe 管理 AD LDS 執行個體。
在 AD LDS 使用者上按一下滑鼠右鍵,然後按一下 [修改]。
在 [屬性] 中輸入 userpassword,然後在 [值] 中輸入帳戶的密碼。
按一下 ENTER 鍵,然後按一下 [執行]。詳細資料窗格顯示的訊息與下列類似:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
其他考量
-
若要開啟 Ldp,請依序按一下 [開始] 及 [執行],並輸入 ldp,然後按一下 [確定]。
-
您也可以使用 [ADSI 編輯器] 來設定或修改密碼:在 [ADSI 編輯器] 中代表 AD LDS 安全性主體的目錄物件上按一下滑鼠右鍵,然後按一下 [重設密碼]。
-
根據預設值,在 Windows Server 2008 R2 上執行的 AD LDS 執行個體會自動強制執行任何本機或網域密碼原則。如果設定的 AD LDS 使用者密碼不符合作用中密碼原則的需求,則會停用使用者帳戶。
-
設定或修改密碼的 AD LDS 使用者在下次登入時,必須使用新密碼。
-
這個程序適用於在 AD LDS 中當成安全性主體的任何物件類別。如果物件類別定義包含 msDS-bindableobject 輔助類別及 unicodePwd 屬性,則 AD LDS 中的任何物件類別都可以當成安全性主體。
-
AD LDS 架構中預設沒有 user、person、inetOrgPerson 及 OrganizationalPerson 物件類別。您必須先行匯入。
- 您也可以使用 Windows PowerShell 的 Active Directory 模組 執行此程序中的工作。若要開啟 [Active Directory 模組],請依序按一下 [開始]、[系統管理工具],然後按一下 [Windows PowerShell 的 Active Directory 模組]。如需相關資訊,請參閱<設定或修改 AD LDS 使用者的密碼>(
https://go.microsoft.com/fwlink/?LinkId=137818 (可能為英文網頁) )。如需 Windows PowerShell 的相關資訊,請參閱<Windows PowerShell>(https://go.microsoft.com/fwlink/?LinkID=102372 (可能為英文網頁) )。
在 SSL 連線上使用 Ldp
| 使用 Ldp 透過 SSL 連線來設定或修改 AD LDS 使用者的密碼 |
在執行 AD LDS 執行個體的電腦上安裝伺服器憑證,然後在要從中管理 AD LDS 執行個體的電腦上安裝相符的用戶端憑證。
開啟 Ldp。
連線並繫結內含想要設定或修改密碼之使用者的 AD LDS 執行個體 (選取 [連線] 對話方塊中的 [SSL])。如需相關資訊,請參閱使用 Ldp.exe 管理 AD LDS 執行個體。
在 AD LDS 使用者上按一下滑鼠右鍵,然後按一下 [修改]。
在 [屬性] 中輸入 userpassword,然後在 [值] 中輸入帳戶的密碼。
按一下 ENTER 鍵,然後按一下 [執行]。詳細資料窗格顯示的訊息與下列類似:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
其他考量
-
若要開啟 Ldp,請依序按一下 [開始] 及 [執行],並在 [開啟] 中輸入 ldp,然後按一下 [確定]。
-
建立 SSL 連線需要伺服器及用戶端上都要有憑證。
-
根據預設值,在 Windows Server 2008 R2 上執行的 AD LDS 執行個體會自動強制執行任何本機或網域密碼原則。如果設定的 AD LDS 使用者密碼不符合作用中密碼原則的需求,則會停用使用者帳戶。
-
如果 AD LDS 使用者目前已登入,則該使用者必須登出,新密碼才會生效。
-
這個程序適用於在 AD LDS 中當成安全性主體的任何物件類別。如果物件類別定義包含 SecurityPrincipal 靜態輔助類別及 unicodePwd 屬性,則 AD LDS 中的任何物件類別都可以當成安全性主體。
-
AD LDS 架構中預設沒有 user、person、inetOrgPerson 及 OrganizationalPerson 物件類別。您必須先匯入它們。如需相關資訊,請參閱匯入 AD LDS 提供的使用者類別。