AD用户修改密码,新旧密码都可以使用问题
2015-08-25 10:03
776 查看
公司OA系统使用AD进行认证,近期测试发现用户重置密码后,旧密码在一定时间内仍可以继续使用。
经过查阅资料发现,在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。。这样,即使新密码没有生效,旧密码依然可用。有些网络效率不高的情况下,是会发生密码同步需要一定时间的情况的。鉴于这样的考虑,我们的旧密码,就有启用了一种生存时间的概念。
值得注意的是,这个缓存,在LDAP验证方式中存在,但却不存在于kerberos验证方式中。换句话说,也就是我们最常见的使用Ctrl-Alt-Del的交互式方式登录到桌面系统是不会存在旧密码可用的情况的。
以下为修改生存期步骤
单击开始,单击运行,键入regedit,然后单击确定
找到并单击以***册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
在编辑菜单上,指向新建,然后单击DWORD 值。
同名的 dword 值,键入OldPasswordAllowedPeriod ,然后按 enter 键。
OldPasswordAllowedPeriod,用鼠标右键单击,然后单击修改。
在数值数据框中,键入所需的分钟数,值,然后单击确定。
注意:寿命期间设置以分钟为单位。如果未设置此注册表值,默认生存期期间旧密码为 60 分钟。
退出注册表编辑器。
注意:此注册表设置不要求重新启动就能生效。
经过查阅资料发现,在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。。这样,即使新密码没有生效,旧密码依然可用。有些网络效率不高的情况下,是会发生密码同步需要一定时间的情况的。鉴于这样的考虑,我们的旧密码,就有启用了一种生存时间的概念。
值得注意的是,这个缓存,在LDAP验证方式中存在,但却不存在于kerberos验证方式中。换句话说,也就是我们最常见的使用Ctrl-Alt-Del的交互式方式登录到桌面系统是不会存在旧密码可用的情况的。
以下为修改生存期步骤
单击开始,单击运行,键入regedit,然后单击确定
找到并单击以***册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
在编辑菜单上,指向新建,然后单击DWORD 值。
同名的 dword 值,键入OldPasswordAllowedPeriod ,然后按 enter 键。
OldPasswordAllowedPeriod,用鼠标右键单击,然后单击修改。
在数值数据框中,键入所需的分钟数,值,然后单击确定。
注意:寿命期间设置以分钟为单位。如果未设置此注册表值,默认生存期期间旧密码为 60 分钟。
退出注册表编辑器。
注意:此注册表设置不要求重新启动就能生效。
相关文章推荐
- 常感冒的小朋友的应对
- 使用NPAPI开发Fireforx/Chrome插件
- apache solr 搜索引擎使用笔记
- 程序员的年龄天花板
- 有假币
- MySQL开启RewriteBatchedStatements后PreparedStatement的一个异常
- 保存登录plsql developer 的用户名和密码
- 无法使用BIPublisher开发报表
- Tapestry 5.3.8 + Spring 4.0.5 小例子(二)
- php给图片打水印
- lxc源码-- 序
- spring 连接sqlserver数据库
- POJ 1493 Machined Surfaces(水~)
- 纯转载Linux目录结构
- ios开发技巧(一)
- 各排序算法总结
- Mybatis中#和$的区别
- POJ2886 Who Gets the Most Candies? 线段树单点更新+反素数
- 程序员常用网站汇总
- sql 表及表数据删除、修改、添加语句