Hesla pro zaregistrované objekty zabezpečení služby AD LDS (Active Directory Lightweight Directory Services) můžete nastavit a měnit přes připojení SSL (Secure Sockets Layer) (pomocí nástroje Ldp.exe) nebo přes šifrovaná připojení jiného typu než SSL (pomocí Editoru ADSI nebo nástroje Ldp.exe). Chcete-li vytvořit připojení SSL ke službě AD LDS, je nutné nainstalovat certifikáty do počítače, ve kterém je spuštěna služba AD LDS, a do všech klientů. Pokud chcete vytvořit připojení SSL k instanci služby AD LDS, je nutné použít nástroj Ldp.exe; Editor ADSI připojení SSL nepodporuje.

Instance služby AD LDS ve výchozím nastavení automaticky vynutí veškeré existující místní zásady nebo zásady domény týkající se hesel. Pokud vytvoříte nového uživatele služby AD LDS a přiřadíte mu heslo, které neodpovídá požadavkům platných zásad hesla, bude uživatel zakázán.

Služba AD LDS ve výchozím nastavení podporuje a vyžaduje nastavení zásad hesla a nastavení uzamčení účtů, které je poskytováno systémem Windows Server 2008 R2, včetně následujícího nastavení:

minimální stáří,

maximální stáří,

složitost,

historie,

příliš velký počet chybných přihlášení,

zakázání a povolení účtů.

Jestliže server, na kterém je spuštěna služba AD LDS, patří do pracovní skupiny, je implementováno místní nastavení zásad hesla a nastavení uzamčení účtů serveru. Pokud server, na kterém je spuštěna služba AD LDS, patří do domény, je implementováno nastavení zásad hesla a nastavení uzamčení účtů ze služby AD DS (Active Directory Domain Services).

Tento postup mohou provádět pouze členové skupiny Administrators v instanci služby AD LDS. Ve výchozím nastavení se zaregistrovaný objekt zabezpečení, který během instalace služby AD LDS určíte jako správce služby AD LDS, stane členem skupiny Administrators v oddílu konfigurace. Další informace o skupinách služby AD LDS naleznete v tématu Principy uživatelů a skupin služby AD LDS.

Nastavení nebo změna hesla uživatele služby AD LDS

Použití Editoru ADSI

Nastavení nebo změna hesla uživatele služby AD LDS pomocí Editoru ADSI
  1. Spusťte modul snap-in Editor ADSI.

  2. Připojte se a vytvořte vazbu k oddílu adresáře obsahujícímu uživatele služby AD LDS, pro kterého chcete nastavit nebo změnit heslo. Další informace naleznete v tématu Použití modulu snap-in Editor ADSI ke správě instance služby AD LDS.

  3. Vyhledejte objekt adresáře představující uživatele služby AD LDS a potom klikněte pravým tlačítkem myši na objekt adresáře.

  4. Klikněte na možnost Vytvořit nové heslo a zadejte heslo uživatele do polí Nové heslo a Potvrzení hesla.

Další informace

  • Chcete-li otevřít modul snap-in Editor ADSI, klikněte v počítači s nainstalovanou rolí serveru služby AD LDS na tlačítko Start, klikněte na položku Nástroje pro správu a pak klikněte na položku Editor ADSI.

Použití nástroje Ldp přes šifrované připojení nevyužívající protokol SSL

Nastavení nebo změna hesla uživatele služby AD LDS pomocí nástroje Ldp přes šifrované připojení nevyužívající protokol SSL
  1. Spusťte nástroj Ldp.

  2. V nabídce Možnosti klikněte na příkaz Možnosti připojení.

  3. V části Název možnosti klikněte na možnost LDAP_OPT_ENCRYPT.

  4. Do pole Hodnota zadejte hodnotu 1, klikněte na možnost Nastavit a potom klikněte na možnost Zavřít.

  5. Připojte se a vytvořte vazbu k instanci služby AD LDS a potom zobrazte oddíl adresáře obsahující uživatele služby AD LDS, pro kterého chcete nastavit heslo. Další informace naleznete v tématu Použití nástroje Ldp.exe ke správě instance služby AD LDS.

  6. Pravým tlačítkem myši klikněte na uživatele služby AD LDS a potom klikněte na příkaz Upravit.

  7. V části Atribut zadejte heslo_uživatele a potom do pole Hodnota zadejte heslo pro daný účet.

  8. Klikněte na možnost Zadat a potom klikněte na možnost Spustit. V podokně podrobností se zobrazí zpráva podobná této:

    ***Call Modify...
    ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs);
    Modified "CN=Mary Baker,O=Microsoft,C=US".

Další požadavky

  • Chcete-li spustit nástroj Ldp, klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz ldp a klikněte na tlačítko OK.

  • Hesla lze nastavit nebo změnit rovněž pomocí Editoru ADSI: Pravým tlačítkem myši klikněte na objekt adresáře představující v Editoru ADSI zaregistrovaný objekt zabezpečení služby AD LDS a potom klikněte na možnost Vytvořit nové heslo.

  • Ve výchozím nastavení instance služby AD LDS spuštěná v systému Windows Server 2008 R2 automaticky vynutí veškeré místní zásady nebo zásady domény týkající se hesel. Pokud pro uživatele služby AD LDS nastavíte heslo, které nesplňuje platné požadavky zásad týkajících se hesel, bude účet uživatele zakázán.

  • Uživatel služby AD LDS, pro kterého nastavujete nebo měníte heslo, bude muset při příštím přihlášení použít nové heslo.

  • Tento postup platí pro všechny třídy objektů, které se ve službě AD LDS používají jako zaregistrované objekty zabezpečení. Ve službě AD LDS lze jako zaregistrovaný objekt zabezpečení použít libovolnou třídu objektu za předpokladu, že definice třídy objektu obsahuje pomocnou třídu msDS-bindableobject a atribut unicodePwd.

  • Třídy objektů user, person, inetOrgPerson a OrganizationalPerson nejsou ve výchozím nastavení ve schématu služby AD LDS k dispozici. Je nutné je nejprve naimportovat.

  • Úkol popsaný v tomto postupu můžete provést také v prostředí Modul služby Active Directory pro prostředí Windows PowerShell. Prostředí Modul služby Active Directory otevřete kliknutím na tlačítko Start, na možnost Nástroje pro správu a potom na položku Modul služby Active Directory pro prostředí Windows PowerShell. Další informace naleznete v tématu Nastavení a změna hesla uživatele služby AD LDS (https://go.microsoft.com/fwlink/?LinkId=137818 (Stránka může být v angličtině.)). Další informace o prostředí Windows PowerShell naleznete na webu Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 (Stránka může být v angličtině.)).

Použití nástroje Ldp přes připojení využívající protokol SSL

Nastavení nebo změna hesla uživatele služby AD LDS pomocí nástroje Ldp přes připojení využívající protokol SSL
  1. Nainstalujte certifikát serveru do počítače, ve kterém je spuštěna instance služby AD LDS, a nainstalujte odpovídající certifikát klienta do počítače, ze kterého spravujete instanci služby AD LDS.

  2. Spusťte nástroj Ldp.

  3. Připojte se a vytvořte vazbu k instanci služby AD LDS (v dialogovém okně Připojit vyberte možnost SSL) obsahující uživatele, pro kterého chcete nastavit nebo změnit heslo. Další informace naleznete v tématu Použití nástroje Ldp.exe ke správě instance služby AD LDS.

  4. Pravým tlačítkem myši klikněte na uživatele služby AD LDS a potom klikněte na příkaz Změnit.

  5. Do pole Atribut zadejte heslo_uživatele a potom do pole Hodnota zadejte heslo pro daný účet.

  6. Klikněte na možnost Zadat a potom klikněte na možnost Spustit. V podokně podrobností se zobrazí zpráva podobná této:

    ***Call Modify...
    ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta
    users,O=Microsoft,C=US',[1] attrs);
    Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".

Další požadavky

  • Chcete-li spustit nástroj Ldp, klikněte na tlačítko Start, klikněte na příkaz Spustit, do pole Otevřít zadejte příkaz ldp a klikněte na tlačítko OK.

  • Vytváření připojení SSL vyžaduje přítomnost certifikátů na serveru a v klientech.

  • Ve výchozím nastavení instance služby AD LDS spuštěná v systému Windows Server 2008 R2 automaticky vynutí veškeré místní zásady nebo zásady domény týkající se hesel. Pokud pro uživatele služby AD LDS nastavíte heslo, které nesplňuje platné požadavky zásad týkajících se hesel, bude účet uživatele zakázán.

  • Pokud je uživatel služby AD LDS nyní přihlášen, musí se nejprve odhlásit, aby se nastavení nového hesla projevilo.

  • Tento postup platí pro všechny třídy objektů, které se ve službě AD LDS používají jako zaregistrované objekty zabezpečení. Ve službě AD LDS lze jako zaregistrovaný objekt zabezpečení použít libovolnou třídu objektu za předpokladu, že definice třídy objektu obsahuje statickou pomocnou třídu SecurityPrincipal a atribut unicodePwd.

  • Třídy objektů user, person, inetOrgPerson a OrganizationalPerson nejsou ve výchozím nastavení ve schématu služby AD LDS k dispozici. Je nutné je nejprve naimportovat. Další informace naleznete v tématu Import tříd uživatelů poskytovaných službou AD LDS.

Další informace


Obsah