是否可以配置用户在 Microsoft 环境中更改密码时需要使用的前缀和后缀?如果可以,该怎么做?
让我解释一下这个说法的来源。在我的公司,他们要求用户在密码上使用默认的前缀和后缀。这提高了密码的默认强度。尽管目前用户更改密码的功能已被关闭。因为否则用户可能不会使用前缀和后缀。
如果用户需要更改密码,他们需要联系 IT 部门,然后他们会输入新密码(一点也不安全)。我目前正在忙于研究安全问题,这是其中之一。
答案1
没有办法通过本机 AD 工具来做到这一点,您必须构建其他东西。
构建一些东西其实并不难。我以前工作时也做过类似的事情,因为我们需要一个系统来同步 Active Directory 和其他三个密码系统之间的密码。我们建立了一个在线门户,用户可以在其中管理校园身份的某些方面,密码更改就是其中之一。和您一样,我们禁用了更改密码的功能,因为否则更改不会同步到其他三个系统。
毫无疑问,这需要一些安全工程。但是,如果您有一个 Web 服务来验证提交的密码是否符合复杂性规则,它可以轻松地为任何密码更改添加所需的任何前缀/后缀。它比您当前的系统更安全,因为密码更改不是通过人工代理的,您可以将页面隐藏在 AD 身份验证后面,以便更好地验证提交的密码更改是否来自实际人员。