Du kan ange och ändra lösenord för säkerhetsobjekt i AD LDS (Active Directory Lightweight Directory Services) över SSL-anslutningar (med hjälp av Ldp.exe) eller över krypterade anslutningar av andra slag än SSL (med hjälp ADSI-redigering eller Ldp.exe). Innan du kan upprätta en SSL-anslutning till AD LDS måste du installera certifikat både på den dator som kör AD LDS och på alla klienter. Du upprättar SSL-anslutningar till en AD LDS-instans med hjälp av Ldp.exe. ADSI-redigering stöder inte SSL-anslutningar.
Som standard tillämpar en AD LDS-instans automatiskt de lösenordsprinciper som gäller lokalt eller för domäner. Om du skapar en ny AD LDS-användare, och om du tilldelar den användaren ett lösenord som inte uppfyller lösenordsprincipernas krav, inaktiveras användaren.
Som standard stöder och tillämpar AD LDS de inställningar för lösenordsprincip och kontoutelåsningar som anges av Windows Server 2008 R2, inklusive:
Kortaste giltighetstid
Längsta giltighetstid
Komplexitet
Historik
För många misslyckade inloggningsförsök
Inaktivering och aktivering av konton
Om den server som AD LDS körs på tillhör en arbetsgrupp, implementeras inställningarna för serverns lokala lösenordsprincip och kontoutelåsning. Om den server som AD LDS körs på tillhör en domän, implementeras AD DS-inställningarna (Active Directory Domain Services) för lösenordsprincip och kontoutelåsning.
Om proceduren ska kunna slutföras krävs medlemskap i minst gruppen Administratörer eller motsvarande på AD LDS-instansen. Som standard blir det säkerhetsobjekt som du anger som AD LDS-administratör under AD LDS-inställningen medlem i gruppen Administratörer i konfigurationspartitionen. Mer information om AD LDS-grupper hittar du på Så här fungerar AD LDS-användare och grupper.
Ange eller ändra lösenord för en AD LDS-användare
Använda ADSI-redigering
Så här anger eller ändrar du lösenord för en AD LDS-användare med ADSI-redigering |
Öppna ADSI-redigering.
Anslut och bind till den katalogpartition som innehåller den AD LDS-användare som du vill ange eller ändra lösenordet för. Mer information finns i Använd ADSI-redigering för att hantera en AD LDS-instans.
Bläddra till det katalogobjekt som motsvarar AD LDS-användaren och högerklicka sedan på katalogobjektet.
Klicka på Återställ lösenord, och skriv sedan in ett lösenord för användare i Nytt lösenord och i Bekräfta lösenord.
Ytterligare hänsyn
-
Om du vill öppna ADSI-redigering på en dator med installerad AD LDS-serverroll, klickar du på Start, Administrationsverktyg och sedan på ADSI-redigering.
Använda Ldp över en krypterad anslutning som inte är en SSL-anslutning
Så här anger eller ändrar du en AD LDS-användare som använder Ldp över en krypterad anslutning som inte är en SSL-anslutning |
Öppna Ldp.
Klicka på Anslutningsalternativ på Alternativ-menyn.
I Alternativnamn klickar du på LDAP_OPT_ENCRYPT.
I Värde skriver du 1, klickar på Ange och sedan på Stäng.
Anslut och bind till den AD LDS-instansen och visa sedan katalogpartitionen med den AD LDS-användare som du vill ange lösenord för. Mer information finns i Använd Ldp.exe för att hantera en AD LDS-instans.
Högerklicka på AD LDS-användaren och klicka sedan på Ändra.
Skriv userpassword i Attribut och skriv sedan ett lösenord för kontot i Värden.
Tryck på Retur och klicka sedan på Kör. I informationsfönstret visas ett meddelande som ser ut ungefär så här:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
Ytterligare överväganden
-
Om du vill öppna Ldp klickar du på Start och sedan på Kör. Skriv ldp och klicka på OK.
-
Du kan också använda ADSI-redigering för att ange eller ändra lösenord: högerklicka på det katalogobjekt som motsvarar AD LDS-säkerhetsobjektet i ADSI-redigering och klicka sedan på Återställ lösenord.
-
Som standard tillämpar en AD LDS-instans som körs på Windows Server 2008 R2 automatiskt de lösenordsprinciper som gäller lokalt eller för domäner. Om du anger ett lösenord för en AD LDS-användare, som inte uppfyller kraven för lösenordsprincipen, inaktiveras användarkontot.
-
Den AD LDS-användare som du har angett eller ändrat lösenord för måste använda det nya lösenordet nästa gång han eller hon loggar in.
-
Denna procedur gäller alla objektklasser som används som säkerhetsobjekt i AD LDS. Alla objektklasser i AD LDS kan användas som säkerhetsobjekt, så länge objektklassdefinitionen innehåller tilläggsklassen msDS-bindableobject och attributet unicodePwd.
-
Objektklasserna user, person, inetOrgPerson och OrganizationalPerson är inte tillgängliga som standard i AD LDS-schemat. Du måste först importera dem.
- Du kan också utföra den här åtgärden genom att använda Active Directory-modulen för Windows PowerShell. Du kan öppna Active Directory-modul genom att klicka på Start, peka på Administrationsverktyg och välja Active Directory-modulen för Windows PowerShell. Mer information finns i Ange eller ändra lösenord för en AD LDS-användare (
https://go.microsoft.com/fwlink/?LinkId=137818 (sidan kan vara på engelska) ). Mer information om Windows PowerShell finns i Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 (sidan kan vara på engelska) ).
Använda Ldp över en SSL-anslutning
Så här anger eller ändrar du en AD LDS-användare som använder Ldp över en SSL-anslutning |
Installera ett servercertifkat på den dator där AD LDS körs och installera ett matchande klientcertifikat på den dator där du administrerar AD LDS-instansen.
Öppna Ldp.
Anslut och bind till den AD LDS-instans (välj SSL i dialogrutan Anslut) som innehåller den användare vars lösenord du vill ange eller ändra. Mer information finns i Använd Ldp.exe för att hantera en AD LDS-instans.
Högerklicka på AD LDS-användaren och klicka sedan på Ändra.
I Attribut skriver du userpassword, och i Värde skriver du ett lösenord för kontot.
Klicka på Retur och sedan på Kör. I informationsfönstret visas ett meddelande som ser ut ungefär så här:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
Ytterligare överväganden
-
Om du vill öppna Ldp klickar du på Start och sedan på Kör. Skriv ldp i fältet Öppna och klicka på OK.
-
För att kunna skapa SSL-anslutningar krävs certifikat på server och klienter.
-
Som standard tillämpar en AD LDS-instans som körs på Windows Server 2008 R2 automatiskt de lösenordsprinciper som gäller lokalt eller för domäner. Om du anger ett lösenord för en AD LDS-användare, som inte uppfyller kraven för lösenordsprincipen, inaktiveras användarkontot.
-
Om AD LDS-användaren är inloggad måste han eller hon logga ut för att det nya lösenordet ska börja gälla.
-
Denna procedur gäller alla objektklasser som används som säkerhetsobjekt i AD LDS. Alla objektklasser i AD LDS kan användas som säkerhetsobjekt, så länge objektklassdefinitionen innehåller tilläggsklassen SecurityPrincipal och attributet unicodePwd.
-
Objektklasserna user, person, inetOrgPerson och OrganizationalPerson är inte tillgängliga som standard i AD LDS-schemat. Du måste först importera dem. Mer information finns i Importera användarklasserna som medföljer AD LDS.