托pipe服务帐户默认情况下具有“每个人:更改密码”ACE
我使用Add-ADComputerServiceAccount cmdlet创build了一个服务帐户,并使用Install-ADServiceAccount将其绑定到计算机帐户。 当查看创build的服务帐户对象的ACL时,我注意到“Everyone”组具有为该对象分配的“更改密码”权限,而“SELF”神秘地没有:
这看起来像一个安全问题和一个拒绝服务攻击媒介。 这是为什么? 它必须保持这种方式吗?
- 用户的UPN后缀在Active Directory中不受信任时会发生什么?
- 我的AD域和DNS域名是一样的。 这可以通过SRV secords解决吗?
- 将Active Directory域控制器迁移到AWS
- Exchange 2013安装失败 – 找不到企业组织容器
- Java 8更新25安装通过GPO不起作用
看看普通用户帐户上的默认安全ACL。 你会注意到每个人都有更改密码。 但是,每个人都不能只是去改变对方的密码。
请记住, 更改密码和重置密码是两个不同的权限。 更改密码是用户为自己所做的事情,需要提供当前密码作为过程的一部分。 重置密码是由另一个用户pipe理的,不需要当前的密码。
编辑 :不,我是错误的根本原因。 Microsoft Article KB242795更好地解释了许可的基本原因。
从文章:
Everyone组具有所有计算机和用户对象的“更改密码”权限,以便未经身份validation或“匿名”的用户或计算机在过期时无需先进行身份validation即可更改其密码。 如果匿名用户被拒绝更改密码,则用户将无法在不login的情况下更改密码。