Reimposta la password dell'utente in Active Directory tramite l'account Admin di dominio o un altro account di servizio

In Active Directory è possibile impostare e applicare regole in cui gli utenti devono utilizzare password complesse, non possono utilizzare le ultime 5+ password che avevano già, applicare la complessità della password. Esiste un modo per applicare tali impostazioni in modo tale che se un account di servizio (servizio Web di reimpostazione password) tenta di impostare una nuova password per l'utente, viene verificato rispetto al criterio e viene accettato o negato?

Sembra che, poiché l'account del servizio sta forzando il cambio password, l'utente può digitare la stessa password tramite l'interfaccia Web e continuare a utilizzare la stessa password più e più volte. Poiché è un account di servizio che modifica la password per lui, non viene verificato rispetto alle ultime password conosciute, pertanto le regole della password non vengono applicate

Mentre il programmatore può codificare un controllo di complessità, le ultime password utilizzate non possono essere verificate sull'interfaccia web perché il servizio web non è a conoscenza delle ultime password.

È possibile forzarlo in modo tale che tale modifica della password da parte dell'account del servizio sia limitata come la normale modifica della password dell'utente?

In AD ci sono due tipi di operazioni per modificare la password di un utente: una modifica , che può essere eseguita in modo anonimo perché richiede la vecchia password come parte della richiesta e un ripristino , che non richiede la vecchia password e deve essere eseguito da un utente con accesso per poter reimpostare le password per l'account di destinazione.

In questo caso, l'applicazione software sta eseguendo l'operazione di ripristino, senza conoscere la vecchia password dell'utente ma mentre è autenticata come presumibilmente un account di servizio con i diritti necessari.

Dal punto di vista di AD, la password viene reimpostata a livello amministrativo; la cronologia delle password non viene mai applicata in questo caso, poiché l'amministratore che esegue il ripristino non dovrebbe conoscere le vecchie password dell'utente - se avessero l'abitudine di impostare il nuovo passaggio su, diciamo, Thursday1non riuscire a soddisfare il criterio su un'operazione di ripristino essere abbastanza confuso.

Mentre un'esperienza utente scadente, il miglior meccanismo che mi viene in mente di gestirlo sarebbe quello di fare in modo che l'applicazione web reimposti la password (forse su qualcosa che non inseriscono, appena generato) quindi imposta "deve cambiare la password al prossimo accesso "contrassegna sull'account per forzare l'utente a eseguire immediatamente un'operazione di modifica della password, che imporrà la cronologia.

C'è qualche discussione sull'uso delle API LDAP in .Net per raggiungere l'obiettivo di far rispettare la cronologia su questo tipo di reset qui , ma non sono sicuro che questa sarà un'opzione per te a seconda dell'applicazione che stai utilizzando; se controlli il codice e la libreria LDAP che stai utilizzando supporta i controlli, dovrebbe essere fattibile.