问候一切,
我们有一个强制执行严格密码策略的活动目录域。 万岁!
现在,对于我们正在进行的项目,我们将存储我们网站微软AD-LDS服务的用户,并将其用于对我们的Web用户进行身份validation。
默认情况下,我的理解是,AD-LDS从其安装的机器的域中inheritance其密码策略。 有什么办法可以打破这个链接,这样我们就可以为AD-LDS中的用户定义一个更轻的密码策略(或者如果我们这样select的话),而不会影响我们的域?
注意:AD-LDS将在作为域的一部分的机器上托pipe。
提前致谢。
我在寻找别的东西的时候遇到了这个(老)的问题,但是我会为任何最终在这里find答案的人添加一个答案。
您可以使用的一个选项(假设您至less有一个2008级的AD域)是针对您托pipeADLDS的服务器,针对您所需的“更轻”设置应用密码策略。 虽然2003及更低版本只有域名范围的密码策略设置,但是2008和更高版本可以支持针对域的某些区域configuration的细粒度密码策略。
我不确定这是否允许您设置并实施较轻的密码策略,但是您可以通过使用ADSI Edit连接到LDAP服务器上的configuration命名上下文来忽略域密码策略。 然后,在对象CN = Optional Features,CN = Directory Service,CN = Windows NT,CN = Services,CN = Configuration,CN = {guid}中,有一个名为msDS-Other-Settings的多值属性。 其中一个属性是ADAMDisablePasswordPolicies,您可以将其设置为1。
您不必直接进入可选设置。
直到CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,CN={guid}就足够了。
ADAMDisablePasswordPolicies属性必须设置为1 。