我有一个有趣的安全问题:具有广告访问权限的pipe理员将密码更改为相同的内容,违反了公司的安全策略。
用户方面,标准的AD复杂的密码策略已经到位(x天后过期,必须是未使用的一个等),但是由于具有该访问权限,他们可以用先前的密码覆盖它。
无论如何强迫ADpipe理员遵守这些设置? 或者通过什么东西来触发警报?
取消他们的访问不幸是一种select。 一个选项可能是他们不能修改自己的密码(我们有pipe理员帐户和每个pipe理员的用户帐户)
简短的回答:不。当用户(用户A)有权更改其他用户(用户B)的密码时,他们可以将其设置为任何他们想要的。 这实际上是你的情况。
这是有原因的。 例如,AD不知道(在这种情况下)用户A和用户B实际上是同一个人。 如果它给用户A一条消息,说明他们试图为用户B设置的密码与用户B的先前密码中的一个相匹配,则用户A知道用户B之前的密码之一。 这同样适用于用户C或用户X.
问题在于用户A知道该用户的先前(以及将来可能的)AD密码。 在公元之外,很可能是任何其他系统的密码。
解决办法是向您的pipe理员解释政策。 理论上你不应该知道他们正在重新使用密码,所以执行它几乎是不可能的。
另一种方法是使用具有多重身份validationfunction的企业SSO解决scheme,该解决scheme会定期自动随机地对用户密码进行随机化 但是,这当然有附加成本。
如果您在每个DC上实施自定义密码筛选器,则可能这是可能的: https : //msdn.microsoft.com/en-us/library/windows/desktop/ms721882(v=vs.85).aspx
但是这需要编程技巧。