Andrew Asked: 2014-02-05 08:03:49 +0800 CST2014-02-05 08:03:49 +0800 CST 2014-02-05 08:03:49 +0800 CST AD LDAP 无需密码 772 我有一个关于启用了 PASSWD_NOTREQD 设置的 AD 帐户的问题。这个设置具体是做什么的? 根据我自己的研究,这似乎会导致该帐户以两种方式之一运行:A)创建帐户时不需要密码,它将忽略密码策略并且始终可以设置为空或 B)创建帐户时不需要密码,但如果更改密码,它仍必须遵循密码策略。 任何人都可以为我解释一下吗? 谢谢! active-directory 1 个回答 Voted Best Answer Mathias R. Jessen 2014-02-05T10:14:31+08:002014-02-05T10:14:31+08:00 用户密码和更新 您的第二个假设几乎是正确的: B) 创建帐户时不需要密码,但如果更改密码,它仍必须遵循密码策略。 为了理解这一点,请理解更新用户帐户密码可以通过两个看似相似但非常不同的操作来完成: 通过设置密码 这是由管理用户完成的 通常是授权给帮助台人员的权限 必须遵守userAccountControl设置 不受密码历史记录策略设置的约束 通过更改密码 这是由用户完成的 通常是密码过期后首次身份验证尝试的一部分 必须遵守密码政策和 userAccountControl设置 这意味着,如果您的帐户对象允许(即已设置),管理员可以将您的密码设置为,而不管适用的密码策略和密码需要多长时间。nullPASSWD_NOTREQD 但是,您不能将密码更改为,null因为“密码更改”意味着您正在替换密码,而不是取消设置密码。更改密码后,新密码将根据有效的密码策略进行验证。 我认为最容易记住的方法是密码策略适用于密码-PASSWD_NOTREQD另一方面,是衡量您是否被允许没有密码的衡量标准 - 在这种情况下,该策略不再相关。 危险吗? PASSWORD_NOTREQD可能看起来像一个危险的标志,但它本身并不有害,因为许多机制阻止使用null-passwords(或“空白密码”)。如上所述,默认情况下,用户无法取消设置自己的 AD 用户密码,并且 Windows(消费者版和服务器版等)将拒绝通过网络进行密码验证,默认情况下,对于密码为空的用户 - 这意味着您只能从安慰。
用户密码和更新
您的第二个假设几乎是正确的:
为了理解这一点,请理解更新用户帐户密码可以通过两个看似相似但非常不同的操作来完成:
userAccountControl设置userAccountControl设置这意味着,如果您的帐户对象允许(即已设置),管理员可以将您的密码设置为,而不管适用的密码策略和密码需要多长时间。
nullPASSWD_NOTREQD但是,您不能将密码更改为,
null因为“密码更改”意味着您正在替换密码,而不是取消设置密码。更改密码后,新密码将根据有效的密码策略进行验证。我认为最容易记住的方法是密码策略适用于密码-
PASSWD_NOTREQD另一方面,是衡量您是否被允许没有密码的衡量标准 - 在这种情况下,该策略不再相关。危险吗?
PASSWORD_NOTREQD可能看起来像一个危险的标志,但它本身并不有害,因为许多机制阻止使用null-passwords(或“空白密码”)。如上所述,默认情况下,用户无法取消设置自己的 AD 用户密码,并且 Windows(消费者版和服务器版等)将拒绝通过网络进行密码验证,默认情况下,对于密码为空的用户 - 这意味着您只能从安慰。