微软AD域(Active Directory Domin)在企业信息化场景里一般用于管理Windows PC终端和各类业务场景的身份认证和访问授权,比如用户在使用一些办公应用如邮箱、OA系统、企业网盘,或研发常用的Gitlab、JIRA、Confluence、Bitbucket,还有VPN、堡垒机、虚拟桌面等网络场景。
出于安全考虑,企业IT管理员会要求用户定期强制修改微软AD域密码。修改或重置AD域用户密码需要通过管理员操作,在实际工作中,企业常会面临这些问题:
- 当用户AD域密码快过期时,电脑登录会给予提示。但当用户未使用电脑(出差或其他原因),就不会收到提示,继而导致密码过期;
- 当AD域密码过期后,用户无法登录电脑及访问各类应用开展工作,只能联系管理员重置密码;
- 大面积用户密码过期重置,耗费管理员大量时间精力,影响管理员的工作效率,也不免会出现错误。同样如果用户密码得不到及时重置,用户不能及时处理手头工作,也会对域用户的工作产生影响。
因此,企业管理员急需一种自助改密的工具,不仅可以通过邮件或短信提前告知用户AD域密码即将过期,还可以让用户自助修改、重置AD域密码。
一、邮件、短信及时提醒用户改密
NDS(Nington Directory Service,宁盾身份目录服务)支持同步微软AD域的账号信息,并保持同步更新。管理员可以在NDS上设置用户密码到期前多少天进行提醒,可通过邮件、短信或两种形式同时使用的方式发送给用户,提醒用户及时修改AD域密码。
二、用户自助修改/重置AD域密码
NDS宁盾身份目录服务器提供了自助服务平台让用户可以更改/重置自己的AD域账户密码,无需通过管理员操作,极大地减轻了管理员工作量。
重置密码
修改密码
三、密码复杂度强制策略
为保障密码的安全性,NDS支持验证密码复杂度,要求AD用户在修改/重置密码时必须包含至少8个字符,以及至少3种以上字符类型(数字、特殊字符、大写、小写),确保密码足够复杂安全以抵御各种攻击威胁。
四、密码更改同步反写回AD域
当用户的AD域密码更改时,这一更改会反写会微软Active Directory(AD)中,保持账号密码的一致性,这样用户在登录PC或访问各类应用时才能成功进行身份的认证校验。
当忘记了微软AD域密码或密码过期,都可以通过NDS宁盾身份目录进行密码修改、重置,而不需要管理员帮助,便捷高效。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)
