我使用Add-ADComputerServiceAccountcmdlet 创建了一个服务帐户,并将其绑定到使用Install-ADServiceAccount. 在查看创建的服务帐户对象的 ACL 时,我注意到“所有人”组具有分配给该对象的“更改密码”权限,而“SELF”神秘地没有:
这看起来像是一个安全问题和拒绝服务攻击向量。为什么会这样?它必须保持这种状态吗?
AskOverflow.Dev
查看普通用户帐户上的默认安全 ACL。您会注意到每个人也都有更改密码。但是每个人都不能只是去更改彼此的密码。
请记住,更改密码和重置密码是两种不同的权限。更改密码是用户自己做的事情,需要提供当前密码作为该过程的一部分。重置密码是由另一个用户以管理方式完成的,不需要当前密码。
编辑:不,我对根本原因是错误的。Microsoft 文章KB242795更好地解释了许可的根本原因。
来自文章: