我有一个有趣的安全问题:具有广告访问权限的管理员一直在将他们的密码更改为相同的密码,并违反了公司的安全政策。
用户方面,标准 AD 复杂密码策略已经到位(x 天后过期、必须是未使用的密码等),但由于具有该访问权限,他们可以使用以前的密码覆盖它。
有没有办法强制 AD 管理员遵守这些设置?或者当他们这样做时通过某种方式触发警报?
不幸的是,取消他们的访问权限不是一种选择。一种选择可能是他们不能修改自己的密码(我们每个管理员都有管理员帐户和用户帐户)
答案1
简短回答:不可以。当用户(用户 A)有权更改另一个用户(用户 B)的密码时,他们可以将其设置为任何他们想要的密码。这实际上是您的场景。
这是有原因的。例如,AD 不知道(在这种情况下)用户 A 和用户 B 实际上是同一个人。如果它向用户 A 显示一条消息,说明他们试图为用户 B 设置的密码与用户 B 以前的密码之一相匹配,则用户 A 知道用户 B 以前的密码之一。这同样适用于用户 C 或用户 X。
那么问题就是用户 A 知道该用户以前的(以及将来的)AD 密码。而且在 AD 之外,很可能还知道许多其他系统的密码。
解决方案是向管理员解释该政策。理论上,你无论如何都不应该知道他们重复使用密码,因此执行该政策几乎是不可能的。
另一种方法是使用具有多因素身份验证的企业 SSO 解决方案,该解决方案可定期自动随机化用户密码。但这当然是有成本的。
答案2
如果您在每个 DC 上实施自定义密码过滤器,这可能是可能的: https://msdn.microsoft.com/en-us/library/windows/desktop/ms721882(v=vs.85).aspx
但这需要编程技能。