Atur ulang kata sandi pengguna di Direktori Aktif dengan akun Admin Domain atau akun layanan lainnya

Dalam Active Directory Anda dapat menetapkan dan menegakkan aturan di mana pengguna harus menggunakan kata sandi yang kuat, tidak dapat menggunakan 5+ kata sandi terakhir yang sudah mereka miliki, menegakkan kompleksitas kata sandi. Apakah ada cara untuk menegakkan pengaturan tersebut sehingga jika akun layanan (layanan web pengaturan ulang kata sandi) mencoba menetapkan kata sandi baru untuk pengguna, itu dicentang dengan kebijakan dan diterima atau ditolak?

Tampaknya karena akun layanan memaksa perubahan kata sandi pengguna dapat mengetikkan kata sandi yang sama melalui antarmuka web dan terus menggunakan kata sandi yang sama berulang-ulang. Karena ini adalah akun layanan yang mengubah kata sandi untuknya, itu tidak diperiksa terhadap kata sandi yang terakhir diketahui sehingga aturan kata sandi tidak ditegakkan

Sementara programmer dapat mengkode kompleksitas memeriksa kata sandi yang digunakan terakhir memeriksa tidak dapat diperiksa pada antarmuka web karena layanan web tidak memiliki pengetahuan tentang kata sandi terakhir.

Apakah mungkin untuk memaksanya sehingga perubahan kata sandi seperti itu oleh akun layanan juga dibatasi seperti perubahan kata sandi pengguna biasa?

Dalam AD ada dua jenis operasi untuk mengubah kata sandi pengguna - perubahan , yang dapat dieksekusi secara anonim karena memerlukan kata sandi lama sebagai bagian dari permintaan, dan pengaturan ulang , yang tidak memerlukan kata sandi lama dan harus dilakukan oleh pengguna dengan akses untuk dapat mengatur ulang kata sandi untuk akun yang ditargetkan.

Dalam hal ini, aplikasi perangkat lunak melakukan operasi reset, tanpa sepengetahuan kata sandi lama pengguna tetapi sementara diotentikasi sebagai akun layanan dengan hak yang diperlukan.

Dari perspektif AD, kata sandi diatur ulang secara administratif; kata sandi sejarah tidak pernah diberlakukan dalam kasus ini, karena administrator yang melakukan reset seharusnya tidak mengetahui kata sandi lama pengguna - jika mereka memiliki kebiasaan mengatur pass baru untuk, katakanlah Thursday1, memiliki yang gagal memenuhi kebijakan operasi reset akan cukup membingungkan.

Sementara pengalaman pengguna yang buruk, mekanisme terbaik yang dapat saya pikirkan untuk menangani ini adalah memiliki aplikasi web mereset kata sandi (mungkin untuk sesuatu yang tidak mereka masukkan, baru saja dihasilkan) kemudian mengatur "harus mengubah kata sandi pada login berikutnya "Tandai pada akun untuk memaksa pengguna untuk segera melakukan operasi penggantian kata sandi, yang akan menegakkan sejarah.

Ada beberapa diskusi tentang menggunakan API LDAP di .Net untuk mencapai tujuan menegakkan riwayat pada jenis pengaturan ulang ini di sini , tapi saya tidak yakin apakah ini akan menjadi pilihan untuk Anda tergantung pada aplikasi yang Anda gunakan; jika Anda mengontrol kode dan pustaka LDAP yang Anda gunakan mendukung kontrol maka itu harus bisa dilakukan.