我的问题是 ADSI 如何执行 SetPassword 操作。据我所知,ADSI 是一个 COM 接口,它具有比 AD 通过 LDAP 提供的更多功能。虽然您应该通过 LDAP 更新 personaccount 实体的 unicodePwd 属性,但 ADSI 为您提供了 SetPassword 调用。我知道 ADSI 和 AD 在身份验证期间提供 Kerberos。那么在调用 SetPassword 时如何将密码传输到服务器?它是原始的二进制未加密数据吗?还是 Kerberos 在此调用中发挥作用?
答案1
netlogon 服务通过 RPC 更改密码,通常直接联系 PDC 模拟器。
检查一下以了解会话是如何建立的:http://msdn.microsoft.com/en-us/library/cc208245%28v=prot.10%29.aspx
所以,密码不会以明文形式通过网络发送。但是,它可能会在接收端的 DC 上本地嗅探到。实际上,有些密码同步工具就是这样工作的。