关于AD域在通过LDAP认证登录时密码修改后还可使用旧密码正常登录问题解决方法
最近一直在做一个LDAP的管理认证登录平台,但是发现在Active Directory中修改用户账号密码后,LDAP认证还可以正常通过认证,并登录系统,这是什么原因了?
在查看相关资料后发现,系Active Directory原因造成;那么应该如何解决这个问题了,可以通过修改旧密码的生命周期时间可以解决此问题;
具体原因:
域用户成功更改密码使用 NTLM 后,旧密码仍然可用于网络访问用户可定义的时间段。此行为允许帐户,如服务帐户,登录到多台计算机来访问网络,而密码更改会传播。
密码的扩展寿命期仅适用于网络访问使用 NTLM。交互式登录行为保持不变。此行为不适用于客户承载独立服务器或成员服务器上。只有域用户会受到这种现象。
旧密码的生命周期时间可以通过编辑上的域控制器的注册表配置。需要重新启动计算机,此注册表更改才会生效。
解决方法:
若要更改旧密码的生命周期时间,添加到域控制器上的以下注册表子项中名为 OldPasswordAllowedPeriod 的 DWORD 项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
若要执行此操作,请按照下列步骤操作:
1)单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”
2)找到并单击以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3)在编辑菜单上,指向新建,然后单击DWORD 值。
同名的 dword 值,键入OldPasswordAllowedPeriod ,然后按 enter 键。
OldPasswordAllowedPeriod右键单击,然后单击“修改”,在数值数据框中,键入以分钟为单位的所需值,然后单击“确定”修改完成;
注意事项:
在修改对应的生命周期时间后,这时候意味着你无法访问任何信息,在常规情况下我们是不建议这样子修改的;
