Пароли для субъектов безопасности AD LSD можно создавать и изменять через подключения SSL с помощью программы Ldp.exe или же по зашифрованным не-SSL-подключениям (с помощью оснастки «Редактирование ADSI» или программы Ldp.exe). Для установки подключения SSL к AD LSD необходимо установить сертификаты на компьютерах, где выполняется AD LDS, а также на всех клиентах. Для установки подключения SSL к экземпляру AD LDS необходимо использовать программу Ldp.exe. Оснастка «Редактирование ADSI» не поддерживает подключения SSL.

Экземпляр AD LDS по умолчанию автоматически применяет любые существующие локальные или доменные политики пароля. Если создается новый пользователь AD LDS и ему назначается пароль, не отвечающий требованиям действующей политики паролей, этот пользователь будет отключен.

AD LDS по умолчанию поддерживает и применяет параметры политики пароля и блокировки учетных записей, предоставленные Windows Server 2008 R2, в том числе следующие:

Минимальный срок действия

Максимальный срок действия

Сложность

История

Слишком много неудачных попыток входа

Отключение и включение учетных записей

Если сервер, на котором выполняется AD LDS, принадлежит к рабочей группе, применяются локальные параметры политики паролей сервера и блокировки учетных записей. Если сервер, на котором выполняется AD LDS, принадлежит к домену, применяются параметры политики паролей и блокировки учетных записей из доменных служб Active Directory (AD DS).

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы экземпляра AD LDS. По умолчанию субъект безопасности, указанный во время настройки AD LDS как администратор AD LDS, становится членом группы «Администраторы» в разделе конфигурации. Дополнительные сведения о группах AD LDS см. в разделе Общее представление о пользователях и группах AD LDS.

Задание и изменение пароля пользователя AD LDS

С помощью оснастки «Редактирование ADSI»

Чтобы задать или изменить пароль пользователя AD LDS при помощи оснастки «Редактирование ADSI»
  1. Откройте оснастку «Редактирование ADSI».

  2. Установите подключение и привязку к разделу каталога, содержащему пользователя AD LDS, для которого требуется задать или изменить пароль. Дополнительные сведения см. в разделе Использование оснастки «Редактирование ADSI» для управления экземпляром AD LDS.

  3. Перейдите к объекту каталога, представляющему пользователя AD LDS, и щелкните его правой кнопкой мыши.

  4. Выберите команду Сменить пароль, а затем введите пароль для пользователя в поля Новый пароль и Подтверждение.

Дополнительная информация

  • Чтобы открыть оснастку «Редактирование ADSI» на компьютере с установленными службами AD LDS, нажмите кнопку Пуск, выделите пункт Администрирование и выберите команду Редактирование ADSI.

С помощью программы Ldp через шифрованное подключение, отличное от SSL-подключения

Чтобы задать или изменить пароль пользователя AD LDS с помощью Ldp через шифрованное не-SSL-подключение
  1. Откройте Ldp.

  2. В меню Параметры выберите команду Параметры подключения.

  3. В поле Имя параметра выберите LDAP_OPT_ENCRYPT.

  4. В поле Значение введите 1, нажмите кнопку Установить, а затем - кнопку Закрыть.

  5. Установите подключение и привязку к экземпляру AD LDS, затем просмотрите раздел каталога, содержащий пользователя AD LDS, для которого требуется задать или изменить пароль. Дополнительные сведения см. в разделе Использование программы Ldp.exe для управления экземпляром AD LDS.

  6. Щелкните запись нужного пользователя AD LDS правой кнопкой мыши и выберите команду Изменить.

  7. В поле Атрибут введите userpassword, а затем введите пароль для учетной записи в поле Значение.

  8. Нажмите кнопку Ввод, а затем - кнопку Выполнить. В области сведений появится сообщение, аналогичное следующему:

    ***Call Modify...
    ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs);
    Modified "CN=Mary Baker,O=Microsoft,C=US".

Дополнительная информация

  • Чтобы открыть Ldp, нажмите кнопку Пуск, выберите команду Выполнить, введите ldp, а затем нажмите кнопку ОК.

  • Для установки и изменения паролей можно также использовать оснастку «Редактирование ADSI»: щелкните правой кнопкой мыши объект каталога, представляющий субъект безопасности AD LDS, и выберите команду Сменить пароль.

  • Экземпляр AD LDS, запущенный в системе Windows Server 2008 R2, по умолчанию автоматически применяет любые существующие локальные или доменные политики пароля. Если задать для пользователя AD LDS пароль, не отвечающий требованиям действующей политики паролей, учетная запись этого пользователя будет отключена.

  • Пользователь AD LDS, для которого был задан или изменен пароль, должен использовать этот новый пароль при своем следующем входе в систему.

  • Данная процедура применяется к любому классу объектов, который используется в качестве субъекта безопасности в AD LDS. В качестве субъекта безопасности может служить любой класс объекта в AD LDS, определение которого содержит вспомогательный класс msDS-bindableobject и атрибут unicodePwd.

  • Классы объектов user, person, inetOrgPerson и OrganizationalPerson недоступны по умолчанию в схеме AD LDS. Сначала их необходимо импортировать.

  • Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Установка и изменение пароля пользователя AD LDS» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=137818). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (https://go.microsoft.com/fwlink/?LinkId=102372) (страница может быть на английском языке).

С помощью программы Ldp через SSL-подключение

Чтобы задать или изменить пароль пользователя AD LDS с помощью Ldp через SSL-подключение
  1. Установите сертификат сервера на компьютере, на котором запущен экземпляр AD LDS, и установите соответствующий сертификат клиента на компьютере, с которого осуществляется управление этим экземпляром AD LDS.

  2. Откройте Ldp.

  3. Установите подключение и привязку к экземпляру AD LDS (выберите SSL в диалоговом окне Подключить), содержащему пользователя, для которого требуется задать или изменить пароль. Дополнительные сведения см. в разделе Использование программы Ldp.exe для управления экземпляром AD LDS.

  4. Правой кнопкой мыши щелкните запись нужного пользователя AD LDS и в контекстном меню выберите команду Изменить.

  5. В поле Атрибут введите userpassword, а затем введите пароль для учетной записи в поле Значение.

  6. Нажмите клавишу ВВОД, а затем - кнопку Выполнить. В области сведений появится сообщение, аналогичное следующему:

    ***Call Modify...
    ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta
    users,O=Microsoft,C=US',[1] attrs);
    Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".

Дополнительная информация

  • Чтобы открыть Ldp, нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите ldp, а затем нажмите кнопку ОК.

  • Установка SSL-подключений требует наличия сертификатов на сервере и клиентах.

  • Экземпляр AD LDS, запущенный в системе Windows Server 2008 R2, по умолчанию автоматически применяет любые существующие локальные или доменные политики пароля. Если задать для пользователя AD LDS пароль, не отвечающий требованиям действующей политики паролей, учетная запись этого пользователя будет отключена.

  • Если данный пользователь AD LDS уже выполнил вход в систему, он должен завершить сеанс, чтобы новый пароль вступил в силу.

  • Эта процедура применяется к любому классу объектов, который используется в качестве субъекта безопасности в AD LDS. В качестве субъекта безопасности может использоваться любой класс объекта в AD LDS, определение которого содержит статический вспомогательный класс SecurityPrincipal и атрибут unicodePwd.

  • Классы объектов user, person, inetOrgPerson и OrganizationalPerson недоступны по умолчанию в схеме AD LDS. Сначала их необходимо импортировать. Дополнительные сведения см. в разделе Импорт пользовательских классов, поставляемых с AD LDS.

Дополнительные источники информации


Содержание