U kunt wachtwoorden voor AD LDS-beveiligingsprincipals (Active Directory Lightweight Directory Services) via SSL-verbindingen (Secure Sockets Layer) (met Ldp.exe) of via versleutelde, niet-SSL-verbindingen (met ADSI bewerken of Ldp.exe) instellen en wijzigen. Als u een SSL-verbinding met AD LDS wilt maken, moet u eerst certificaten installeren op de computer waarop AD LDS wordt uitgevoerd en op alle clients. Als u SSL-verbindingen met een AD LDS-exemplaar wilt maken, moet u Ldp.exe gebruiken. ADSI bewerken ondersteunt geen SSL-verbindingen.
Voor een AD LDS-exemplaar wordt standaard automatisch het lokale wachtwoordbeleid of het wachtwoordbeleid voor het domein nageleefd. Als u een nieuwe AD LDS-gebruiker maakt en aan die gebruiker een wachtwoord toewijst dat niet voldoet aan de vereisten van het geldende wachtwoordbeleid, wordt de gebruiker uitgeschakeld.
AD LDS ondersteunt standaard de instellingen voor het wachtwoordbeleid en voor accountvergrendeling van Windows Server 2008 R2 en dwingt deze af, inclusief de volgende instellingen:
Minimale duur
Maximale duur
Complexiteit
Geschiedenis
Te veel mislukte aanmeldingspogingen
Het uit- en inschakelen van accounts
Als de server waarop AD LDS wordt uitgevoerd, tot een werkgroep behoort, worden de lokale wachtwoordbeleidsinstellingen en de lokale accountvergrendelingsinstellingen van de server geïmplementeerd. Als de server waarop AD LDS wordt uitgevoerd, tot een domein behoort, worden de wachtwoordbeleidsinstellingen en de accountvergrendelingsinstellingen van AD DS (Active Directory Domain Services) geïmplementeerd.
Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Administrators van het AD LDS-exemplaar. Standaard wordt de beveiligings-principal die u tijdens de installatie van AD LDS als de AD LDS-administrator opgeeft, een lid van de groep Administrators in de configuratiepartitie. Zie Wat zijn AD LDS-gebruikers en -groepen? voor meer informatie over AD LDS-groepen.
Het wachtwoord voor een AD LDS-gebruiker instellen of wijzigen
Met ADSI bewerken
Het wachtwoord voor een AD LDS-gebruiker instellen of wijzigen met ADSI bewerken |
Open ADSI bewerken.
Maak een verbinding en een binding met de mappartitie die de AD LDS-gebruiker bevat voor wie u het wachtwoord wilt instellen of wijzigen. Zie AD LDS-exemplaren beheren met behulp van ADSI bewerken voor meer informatie.
Navigeer naar het directoryobject dat de AD LDS-gebruiker vertegenwoordigt en klik met de rechtermuisknop op het object.
Klik op Wachtwoord opnieuw instellen en typ een wachtwoord voor de gebruiker bij Nieuw wachtwoord en bij Bevestig het wachtwoord.
Aanvullende overwegingen
-
U opent ADSI bewerken als volgt: op een computer waarop de AD LDS-serverrol is geïnstalleerd, klikt u op Start, Systeembeheer en vervolgens op ADSI bewerken.
Met Ldp via een versleutelde, niet-SSL-verbinding
Het wachtwoord voor een AD LDS-gebruiker instellen of wijzigen met Ldp via een versleutelde, niet-SSL-verbinding |
Open Ldp.
Klik op Verbindingsopties in het menu Opties.
Klik bij Optienaam op LDAP_OPT_ENCRYPT.
Typ bij Waarde de waarde 1, klik op Instellen en klik op Sluiten.
Maak een verbinding en een binding met het AD LDS-exemplaar en geef de mappartitie weer die de AD LDS-gebruiker bevat voor wie u een wachtwoord wilt instellen. Zie AD LDS-exemplaren beheren met behulp van Ldp.exe voor meer informatie.
Klik met de rechtermuisknop op de AD LDS-gebruiker en klik op Wijzigen.
Typ userpassword bij Kenmerk en typ een wachtwoord voor het account bij Waarde.
Klik op Enter en klik vervolgens op Uitvoeren. In het detailvenster wordt een dergelijk bericht weergegeven:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
Aanvullende overwegingen
-
Klik in het menu Start op Uitvoeren, typ ldp en klik op OK om Ldp te openen.
-
U kunt wachtwoorden ook instellen en wijzigen met ADSI bewerken: klik in ADSI bewerken met de rechtermuisknop op het directoryobject dat de beveiligings-principal van AD LDS vertegenwoordigt, en klik op Wachtwoord opnieuw instellen.
-
Voor een AD LDS-exemplaar dat op Windows Server 2008 R2 wordt uitgevoerd, wordt standaard automatisch het lokale wachtwoordbeleid of het wachtwoordbeleid voor het domein nageleefd. Als u voor een AD LDS-gebruiker een wachtwoord instelt dat niet voldoet aan de vereisten van het geldende wachtwoordbeleid, wordt het gebruikersaccount uitgeschakeld.
-
De AD LDS-gebruiker voor wie u het wachtwoord instelt of wijzigt, moet het nieuwe wachtwoord gebruiken wanneer hij of zij zich de volgende keer aanmeldt.
-
Deze procedure geldt voor elke objectklasse die als een beveiligings-principal wordt gebruikt in AD LDS. Elke objectklasse in AD LDS kan als een beveiligings-principal worden gebruikt, zolang de objectklassedefinitie de hulpklasse msDS-bindableobject en het kenmerk unicodePwd bevat.
-
De objectklassen user, person, inetOrgPerson en OrganizationalPerson zijn niet standaard beschikbaar in het AD LDS-schema. U moet deze eerst importeren.
- U kunt de taak in deze procedure ook uitvoeren met de Active Directory-module voor Windows PowerShell. U opent de Active Directory-module als volgt: klik op Start, klik op Systeembeheer en klik vervolgens op Active Directory-module voor Windows PowerShell. Zie Het wachtwoord voor een AD LDS-gebruiker instellen of wijzigen (
https://go.microsoft.com/fwlink/?LinkId=137818 ) (mogelijk in het Engels) voor meer informatie. Zie Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 ) (mogelijk in het Engels) voor meer informatie over Windows PowerShell.
Met Ldp via een SSL-verbinding
Het wachtwoord voor een AD LDS-gebruiker instellen of wijzigen met Ldp via een SSL-verbinding |
Installeer een servercertificaat op de computer waarop het AD LDS-exemplaar wordt uitgevoerd en installeer een bijbehorend clientcertificaat op de computer waarop u het AD LDS-exemplaar beheert.
Open Ldp.
Maak een verbinding en een binding met het AD LDS-exemplaar (selecteer SSL in het dialoogvenster Verbinding maken) dat de gebruiker bevat voor wie u een wachtwoord wilt instellen of wijzigen. Zie AD LDS-exemplaren beheren met behulp van Ldp.exe voor meer informatie.
Klik met de rechtermuisknop op de AD LDS-gebruiker en klik op Wijzigen.
Typ userpassword bij Kenmerk en typ een wachtwoord voor het account bij Waarde.
Klik op Enter en klik vervolgens op Uitvoeren. In het detailvenster wordt een bericht met de volgende of vergelijkbare inhoud weergegeven:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
Aanvullende overwegingen
-
Klik in het menu Start op Uitvoeren, typ ldp in Openen en klik op OK om Ldp te openen.
-
Als u SSL-verbindingen wilt maken, moeten certificaten aanwezig zijn op de server en op de clients.
-
Voor een AD LDS-exemplaar dat op Windows Server 2008 R2 wordt uitgevoerd, wordt standaard automatisch het lokale wachtwoordbeleid of het wachtwoordbeleid voor het domein nageleefd. Als u voor een AD LDS-gebruiker een wachtwoord instelt dat niet voldoet aan de vereisten van het geldende wachtwoordbeleid, wordt het gebruikersaccount uitgeschakeld.
-
Als de AD LDS-gebruiker momenteel is aangemeld, wordt het nieuwe wachtwoord pas van kracht wanneer de gebruiker zich heeft afgemeld.
-
Deze procedure geldt voor elke objectklasse die als een beveiligings-principal wordt gebruikt in AD LDS. Elke objectklasse in AD LDS kan als een beveiligings-principal worden gebruikt, zolang de objectklassedefinitie de statische hulpklasse SecurityPrincipal en het kenmerk unicodePwd bevat.
-
De objectklassen user, person, inetOrgPerson en OrganizationalPerson zijn niet standaard beschikbaar in het AD LDS-schema. U moet deze eerst importeren. Zie De gebruikersklassen importeren die bij AD LDS zijn meegeleverd voor meer informatie.