我正在寻找一种经济实惠的解决方案,为我的活动目录用户(约 150 名)在网络上提供“自助式”密码重置门户。
他们中的许多人不使用 Windows 工作站,因此无法重置自己的密码。
我一直在谷歌搜索,发现有很多选择,我不知道如何将它们全部整理出来。有人对任何特定产品有过积极(或消极)的体验吗?
答案1
正如您所说,有多种方法可以更改 Active Directory 密码。一种可能性是使用 Outlook WebAccess 中的密码更改选项。另一种选择是使用 ldaps 连接和您选择的编程语言(php、perl、python、java)来更改用户的 unicodePW 属性。例如,可以为您处理这些事情的 PHP 库是 adldap (http://adldap.sourceforge.net)。
答案2
如果您正在使用 Outlook Web Access,那么我强烈推荐这种方法,正如 Dieda 所建议的那样。我最近管理了一个混合操作系统环境,并面临同样的问题。
这是与此问题相关的 MS 支持文档。http://support.microsoft.com/kb/297121 它并不像文档中看起来的那样复杂,并且对我们所有的用户来说都运行良好。
答案3
是的,有很多不同的解决方案,但这取决于您想为用户提供的服务水平。您确实可以使用 OWA 组件来允许更改密码,但是,如果用户的密码已过期或用户的帐户被锁定,这将不起作用。如果您向用户发出了临时密码(必须在下次登录时更改标志设置),它也不会起作用。可用的审核方式不多,也没有设置来防止字典攻击并可能允许恶意用户锁定您的用户帐户。
我发现最好的解决方案,并且价格实惠,是 的 Password Reset PRO。www.sysoptools.com。我看了很多解决方案,好的(Hitachi-ID 和 Microsoft ILS)的价格约为每位用户 8 至 20 美元。廉价货解决方案(实际上有很多)对于外部使用来说并不安全,会让你安装古怪的数据库和/或客户端软件,并且是一场变更控制噩梦。它们是没有设计供外部使用。Password Reset PRO 产品安装起来超级简单,非常安全,对我们的用户来说也很简单。我们发现它的质量与日立或微软一样高,但价格却没有那么高,而且安装起来也容易得多。它允许用户使用临时密码进行访问/注册。注册过程就像许多当前的银行网站一样,您可以选择图像缩略图并创建访问 PIN 或安全词。每位用户的费用约为 3 美元,这对于真正安全的企业产品来说非常划算。他们的支持非常好,他们似乎对 Active Directory 和安全性非常了解。祝你好运!
答案4
免费选项怎么样?
最近我没法将很多时间投入到这个项目中,但几年前我开始使用一款免费工具,它可以满足您的需求,甚至更多。它很稳定,但设置起来可能有点棘手,就像任何与 AD 相关的东西一样。
我正在开发一个较新的 MVC 版本,但其他项目占用了我很多时间。我会看看能否尽快恢复工作。
此外,我们计划在下一个版本中支持 ADFS,以便您的用户可以在其他应用程序中拥有内置的 SSO 功能。