вторник, 16 апреля 2013 г.

ACTIVE DIRECTORY DOMAIN SERVICES - вспоминаем некоторые интересные факты (Total Recall part #3): Группа Everyone имеет право Change Password в свойствах любой учётной записи Active Directory

Почему Everyone имеет право Change Password в свойствах любой учётной записи Active Directory?

Если включить в оснастке ADUC функцию Advanced View и открыть вкладку Security любой учётной записи, вы с удивлением обнаружите, что группа  Everyone имеет право Change Password.

Неужели любой человек сможет сбросить пароль любому человеку?


На самом деле нет.

Данное разрешение необходимо для работы механизма смены пароля в Active Directory, как для пользовательских учётных записей, так и для учётных записей компьютеров.

Давайте рассмотрим как работает этот механизм  на примере (некоторые шаги подробно не описаны, так как это не входит в материал данной статьи):

1. Пользователь на экране входа вводит логин и пароль;
2. Рабочая станция передаёт хеш данных пользователя  на контроллер домена;
3. Контроллер домена в свойствах учётной записи пользователя обнаруживает включенную опцию "сменить пароль при первом входе" или "срок действия пароля истёк" и предлагает сменить пароль, введя старый пароль и новый (с подтверждением).
4. Пользователь вводит старый пароль (тем самым подтверждая, что это действительно он) и новый пароль, который будет использовать в дальнейшем.
5. Контроллер домена обрабатывает эти данные и на основе их формирует TGT.



На этапе 2 и  3 по сути своей происходит анонимное подключение, так как пароль пользователя больше недействителей и его необходимо сменить.  Именно поэтому группа Everyone имеет явные разрешения Change Password.

Чтобы убедиться, что пользователь является тем, кому принадлежит учётная запись, контроллер домена просит ввести старый пароль пользователя. Только по совпадению старого пароля контроллер домена примет данные нового пароля и обработает их.

Если же мы включим опцию "User cannot change password" мы увидем, что разрешение Change Password для группы Everyone  сменилось на явное Deny (аналогично у группы SELF).

Если убрать разрешение Change Password для группы Everyone, то механизм смены пароля в Active Directory перестанет работать и по истечению срока действия пароля пользователи или компьютеры не смогут войти в домен.

Комментариев нет:

Отправить комментарий

Уважаемый коллега, Ваш комментарий пройдёт модерацию, чтобы избежать спам-атак в ленте. Спасибо за понимание.