那些遇到过的问题

默认情况下,托管服务帐户具有“所有人:更改密码”ACE

the*_*bit 5 active-directory windows-server-2008-r2

我使用Add-ADComputerServiceAccountcmdlet创建了一个服务帐户,并使用Install-ADServiceAccount. 在查看创建的服务帐户对象的 ACL 时,我注意到“Everyone”组具有为此对象分配的“更改密码”权限,而“SELF”神秘地没有:

托管服务帐户对象的 ACL

这看起来像是一个安全问题和一个拒绝服务攻击向量。为什么会这样?有必要一直这样吗?

Rya*_*ger 5

查看普通用户帐户的默认安全 ACL。您会注意到,每个人也都有更改密码。但是每个人都不能只是去更改彼此的密码。

请记住,更改密码重置密码是两种不同的权限。更改密码是用户为自己做的事情,需要在此过程中提供当前密码。重置密码是由另一个用户以管理方式完成的,不需要当前密码。

编辑:不,我错了根本原因。Microsoft 文章KB242795更好地解释了获得许可的根本原因。

从文章:

每个人组对所有计算机和用户对象都具有更改密码权限,以便未经身份验证或“匿名”的用户或计算机能够在密码到期时更改其密码,而无需先进行身份验证。如果匿名用户被拒绝更改密码的能力,则用户将无法在不登录的情况下更改密码。

归档时间:

查看次数:

1968 次

最近记录:

11 年,8 月 前
相关归档
在 Windows Server 2008 上移动和更改 Pagefile.sys 大小 12
限制 rdp 只访问某个 IP 7
以前的版本在文件服务器共享上不可用。但是 vss 似乎在起作用 7
有没有一种安全的方法可以绕过非复制 DC? 5
为 [COMPUTER NAME] PsLoggedon 打开 HKEY_USERS 时出错 5
Active Directory - 确保从未在本地的用户定期收到 AD 策略 3
降级或不降级 AD 2
Windows 7 安全模型 - Windows XP 和 Active Directory 之间的差异 2
Exchange 服务器上的多个域 1
如何向 Active Directory 组发送电子邮件? -1
难疑归档
如何在 Nginx.conf 中使用环境变量 287
非交互式 git clone(ssh 指纹提示) 170
“可能的闯入企图!” 在 /var/log/secure 中——这是什么意思? 105
从 USB 拇指驱动器启动和安装 Windows 96
Linux 中是否有等效于 /dev/null 的目录? 93
如何通过看起来像文本的二进制文件进行 grep? 76
活动目录解释 72
“rebo​​ot”或“shutdown -r now”:什么重启命令更安全? 57
我们可以为一个 Name 设置多个 CNAMES 吗? 53
如何通过 Windows Server 2012 中的终端服务管理器访问当前登录用户的列表? 53