FatRabbit Asked: 2023-08-23 20:12:05 +0800 CST2023-08-23 20:12:05 +0800 CST 2023-08-23 20:12:05 +0800 CST 对 Microsoft Active Directory 用户帐户使用多个密码 772 我们有多个本地 Web 应用程序,使用针对 Active Directory 后端的基于表单的身份验证。 我们的新安全策略要求每个用户对每个网站都有不同的密码。 问题是,Active Directory 只允许每个用户帐户使用一个密码。 谁能帮我找出一个解决方案,使每个用户对每个网站使用相同的用户名但使用不同的密码? active-directory 3 个回答 Voted Best Answer Massimo 2023-08-24T17:40:00+08:002023-08-24T17:40:00+08:00 Our new security policy requires that each user uses different passwords for each sites. 那么您就无法使用 Active Directory 身份验证,除非您为每个用户设置多个用户帐户。 Semicolon 2023-08-24T21:35:20+08:002023-08-24T21:35:20+08:00 我相信这个问题的实际答案是打电话给编写此政策的天才,并反驳说它应该措辞“每个帐户使用不同的密码”。我认为这才是真正的意图。人们不应该在不同帐户之间重复使用密码。 然后更进一步,建议将所有身份验证统一到一个帐户。使用 MFA 更容易确保安全,更容易终止访问,更容易以丢失密码的形式解决问题,更容易配置/取消配置 - 并且(当站点/提供商支持时)可以删除应用程序本地帐户通常具有适合暴力破解的固定密码。 按照安全团队的“要求”意味着每个未与 SSO/SAML/OIDC 集成的外部网站都有单独的密码,经常被遗忘,很少更新。 不想太贬低,这是一个非常糟糕的策略(无论如何都适用于使用相同身份验证源的内部站点)。它需要创建多个本地帐户,然后所有这些帐户都必须在终止时禁用/停用 - 让您容易陷入困境。更不用说 - 不可能针对所有不同的解决方案维护不固定的密码策略。 Walter Egosson 2023-08-24T17:08:37+08:002023-08-24T17:08:37+08:00 为什么不直接创建不同的域呢?您可以对特定域的每个应用程序进行身份验证。 在某些情况下,您可以在 2 个域中拥有相同的用户名,因此同一用户名的密码不同,但请确保在此之前阅读有关信任关系的内容。 华泰
那么您就无法使用 Active Directory 身份验证,除非您为每个用户设置多个用户帐户。
我相信这个问题的实际答案是打电话给编写此政策的天才,并反驳说它应该措辞“每个帐户使用不同的密码”。我认为这才是真正的意图。人们不应该在不同帐户之间重复使用密码。
然后更进一步,建议将所有身份验证统一到一个帐户。使用 MFA 更容易确保安全,更容易终止访问,更容易以丢失密码的形式解决问题,更容易配置/取消配置 - 并且(当站点/提供商支持时)可以删除应用程序本地帐户通常具有适合暴力破解的固定密码。
按照安全团队的“要求”意味着每个未与 SSO/SAML/OIDC 集成的外部网站都有单独的密码,经常被遗忘,很少更新。
不想太贬低,这是一个非常糟糕的策略(无论如何都适用于使用相同身份验证源的内部站点)。它需要创建多个本地帐户,然后所有这些帐户都必须在终止时禁用/停用 - 让您容易陷入困境。更不用说 - 不可能针对所有不同的解决方案维护不固定的密码策略。
为什么不直接创建不同的域呢?您可以对特定域的每个应用程序进行身份验证。
在某些情况下,您可以在 2 个域中拥有相同的用户名,因此同一用户名的密码不同,但请确保在此之前阅读有关信任关系的内容。
华泰