大家好,
我们有一个活动目录域,它强制执行严格的密码策略。好极了!
现在,对于我们正在进行的项目,我们将存储我们网站的 Microsoft AD-LDS 服务的用户,并使用它来对我们的网络用户进行身份验证。
默认情况下,我的理解是 AD-LDS 从其安装的计算机的域继承其密码策略。有没有办法打破这种联系,以便我们可以为 AD-LDS 中的用户定义更轻松的密码策略(或者如果我们愿意的话,可以不定义)而不影响我们的域?
注意:AD-LDS 将托管在属于域的机器上。
提前致谢。
答案1
我在寻找其他东西时遇到了这个(旧)问题,但我会为任何最终在这里寻找答案的人添加答案......
您可以使用的一个选项(假设您至少有一个 2008 级 AD 域)是针对您托管 ADLDS 的服务器应用具有所需“较轻”设置的密码策略。虽然 2003 及以下版本只有域范围的密码策略设置,但 2008 及以上版本可以支持针对域的某些区域配置的细粒度密码策略。
答案2
我不确定这是否允许您仍然设置和执行更轻松的密码策略,但您可以使用 ADSI Edit 连接到 LDAP 服务器上的配置命名上下文来忽略域密码策略。然后,在对象 CN=Optional Features、CN=Directory Service、CN=Windows NT、CN=Services、CN=Configuration、CN={guid} 上,有一个名为 msDS-Other-Settings 的多值属性。其中一个属性是 ADAMDisablePasswordPolicies,您可以将其设置为 1。
答案3
您不需要直接进入“可选设置”。
直接进入CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,CN={guid}
就足够了。必须将
属性ADAMDisablePasswordPolicies
设置为1
。