托管服务帐户默认具有“所有人:更改密码”ACE

托管服务帐户默认具有“所有人:更改密码”ACE

我使用 cmdlet 创建了一个服务帐户Add-ADComputerServiceAccount,并使用 将其绑定到计算机帐户Install-ADServiceAccount。查看创建的服务帐户对象的 ACL 时,我注意到“Everyone”组已为该对象分配了“更改密码”权限,而“SELF”却神秘地没有:

托管服务帐户对象的 ACL

这看起来像是一个安全问题和拒绝服务攻击媒介。为什么会这样?它必须保持这种状态吗?

答案1

查看普通用户帐户的默认安全 ACL。您会注意到,每个人都有更改密码的权限。但每个人都不能随便更改彼此的密码。

记住更改密码重设密码是两种不同的权限。更改密码是用户自己执行的操作,并且需要在过程中提供当前密码。重置密码是由其他用户以管理方式执行的操作,不需要当前密码。

编辑:不,我搞错了根本原因。微软文章KB242795更好地解释了许可的根本原因。

摘自本文:

Everyone 组对所有计算机和用户对象都具有更改密码权限,因此未经身份验证或“匿名”的用户或计算机可以在密码过期时更改密码,而无需先进行身份验证。如果匿名用户被拒绝更改密码,则该用户将无法在未登录的情况下更改密码。

相关内容