定期更改密码是一种健康的习惯,因为它有助于阻止使用被盗凭据的网络攻击,安全专家建议管理员应确保用户使用有效的密码过期策略更改其密码。
管理员可以通过电子邮件通知用户在密码即将过期时更改其密码,但在许多组织中,用户只能在连接到公司网络时更改其域密码。
在以下情况下,域用户可能需要更改密码:
- 他们的密码将很快过期。
- 管理员要求他们更改密码。
- 管理员将其密码重置为默认值。
PowerShell可以來更改Active Directory的密码吗
PowerShell 只能用于重置用户密码,而不能更改它们,管理员可以重置单个用户或一组用户的 Active Directory 密码,但不能使用 PowerShell 更改 Active Directory 密码。密码重置和更改之间的区别在于,在重置Active Directory密码时,不必在此过程中输入旧密码,但是在密码更改期间,需要提供旧密码。
应该组织中使用什么自助式 Active Directory 密码更改工具
可以在组织中使用 ADSelfService Plus 的自助式 Active Directory 密码更改功能,该功能通过具有强大身份验证器的自适应 MFA 保护自助服务,例如生物识别、YubiKey、智能卡和基于时间的一次性密码。简单且用户友好的控制台,最终用户可以轻松更改其Active Directory密码,而无需帮助台的帮助。
什么是自助式活动目录密码更改
自助式 Active Directory 密码更改是使用户能够通过基于 Web 的门户或移动应用程序安全地更改自己的 Active Directory 密码的过程,无需帮助台帮助。
自助密码更改
ADSelfService Plus 是一个基于 Web 的自助式密码更改解决方案,它提供了一个安全的门户,允许域用户更改自己的密码。用户可以单击 Web 门户上的“更改密码”选项卡并更改其 Windows AD 登录密码。用户根据管理员决定的密码策略更改其密码,该策略将在设置密码时显示。
远程密码更改
使用ADSelfService Plus,用户可以远程更改其域密码。通常,当用户的域密码发生更改时,更改会反映在 AD 中,但不反映在用户的本地计算机上。这意味着需要更新用户计算机上的缓存凭据才能使更改生效,否则他们将无法登录到系统。
为了避免这种情况,ADSelfService Plus为提供了一个登录代理,它会在登录屏幕上放置一个重置密码/帐户解锁按钮。用户可以单击此按钮直接从登录屏幕重置忘记的密码。成功重置密码后,将在用户的计算机上更新缓存的密码。
如何使用ADSelfService Plus更改AD域密码:
- 登录到 ADSelfService Plus 用户门户,然后转到“更改密码”选项卡。
- 在“旧密码”字段中输入现有的活动目录或域密码。
- 提供新密码,然后在“确认新密码”字段中重新输入。确保新密码满足复杂性要求。
- 单击更改密码。
更改密码与重置密码
重置密码是在忘记当前密码时更新密码的过程。虽然Microsoft为管理员提供了多种方法来执行此操作,但 ADSelfService Plus 允许域用户通过使用注册期间配置的多种身份验证技术验证用户的身份,从其自助服务门户执行自助密码重置。
密码更改不需要验证过程。它只需要用户登录到ADSelfService Plus最终用户门户,当用户更改其密码时,他们会提供旧密码以及新密码,如果旧密码正确且新密码遵循密码策略,则密码将成功更改。
通过密码策略遵守数据隐私法规
为了保护组织数据,确保密码安全至关重要。ADSelfService Plus通过其功能帮助组织遵守HIPAA,GDPR,NIST,CJIS和PCI DSS等IT法规的密码和身份验证要求:
- 密码策略实施器:在密码更改期间,除了默认域密码策略和 AD 中可用的细粒度密码策略外,还配置高级密码策略。可以启用的高级密码要求包括:
- 禁止字典单词和键盘序列
- 不允许在用户名和旧密码中使用连续字符
- 限制回文的使用
- 强制使用特定类型的第一个字符
- 多重身份验证:除了用户名和密码之外,还可以配置其他身份验证方法,以便在产品登录期间验证用户身份以进行密码更改。管理员可以从 18 种受支持的身份验证方法中进行选择,包括 Yubico 身份验证器、Google 身份验证器、TOTP 和生物识别技术。
ADSelfService Plus是一种身份安全解决方案,可以节省 IT 成本,可以保护多种 IT 资源,包括身份、计算机和 VPN,减轻 IT 帮助台的负担,为用户提供自助服务功能,并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。