假设如下:
Windows 域设置了一个策略,以确保用户必须每 90 天重置一次密码
一个用户帐户(我们将其称为“UserA”)最后一次更改密码是在 3 个多月前,因此会为他们的帐户触发此策略 - 强制在下次登录时更改密码
在这种情况下,如果域管理员要在 UserA 的“属性”对话框中打开“帐户”选项卡,是否会勾选“用户下次登录时必须更改密码”复选框 - 或者 ADUC 中的此设置不受域密码到期的影响政策?
在同一个域上拥有多个密码策略已成为我们的要求。我一直在做一些研究,看起来实现这一目标的方法是通过细粒度密码策略。我可以在网上看到很多解释它的文章,现在有一个工具可以做到这一点,而不是使用 ADSI Edit,例如https://specopssoft.com/blog/create-fine-grained-password-policy-active-目录/。我们已经有了基于 GPO 的密码策略。
我的问题是我们如何从 GPO 密码策略转移到细粒度?它会导致安全混乱或可能将人们拒之门外吗?除了 GPO 之外,您是否可以只创建一个细粒度策略并附加到 OU,还是会被覆盖?我们是否必须完全删除 GPO 并创建细粒度策略?我在网上看不到任何解释如何从一个移动到另一个以及含义是什么的东西。
我在 SSHA-512 上有一个带有 ppolicy 的 openldap。当客户端发送明文密码时,密码将存储为 SSHA-512,很好。
我的问题出现了,一旦发送已经散列的密码,例如 SHA、SSHA 甚至 SSHA-512,散列值在 SSHA-512 上再次散列。
我已将我的 ppolicy 配置为: olcPPolicyHashCleartext: TRUE
openldap ppolicy 不应该区分上述情况并仅在发送明文时触发吗?
