Beschreibung der Protokolle zur Kennwortänderung in Windows
In diesem Artikel werden die Mechanismen zum Ändern von Kennwörtern in Windows beschrieben.
Gilt für: Windows 10, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 264480
Zusammenfassung
Windows verwendet viele verschiedene Mechanismen zum Ändern von Kennwörtern. In diesem Artikel werden diese Mechanismen beschrieben.
Weitere Informationen
Die unterstützten Protokolle zur Kennwortänderung sind:
- Das NetUserChangePassword-Protokoll
- Das NetUserSetInfo-Protokoll
- Kerberos-Kennwortänderungsprotokoll (IETF Internet Draft Draft-ietf-cat-kerb-chg-password-02.txt) [Port 464]
- Kerberos set-password protocol (IETF Internet Draft Draft-ietf-cat-kerberos-set-passwd-00.txt) [Port 464]
- LDAP-Attribut (Lightweight Directory Access Protocol) mit Schreibkennwort (bei Verwendung von 128-Bit Secure Sockets Layer [SSL] )
- XACT-SMB für Kompatibilität vor Microsoft Windows NT (LAN Manager)
Kennwortänderungsvorgänge erfordern, dass das aktuelle Kennwort des Benutzers bekannt ist, bevor die Änderung zulässig ist. Bei Vorgängen zum Festlegen von Kennwörtern gilt diese Anforderung nicht, sie werden jedoch durch die Berechtigungen zum Zurücksetzen des Kennworts für das Konto gesteuert.
Wenn Sie LDAP (Methode 5) verwenden, müssen sowohl der Domänencontroller als auch der Client 128-Bit-SSL verwenden können, um die Verbindung zu schützen. Wenn der Domänencontroller nicht für SSL konfiguriert ist oder wenn entsprechend lange Schlüssel nicht verfügbar sind, wird das Schreiben der Kennwortänderung verweigert.
Ein Active Directory-Domänencontroller lauscht auf Kennwortänderungsanforderungen für alle diese Protokolle.
Wie weiter oben in diesem Artikel erwähnt, werden verschiedene Protokolle unter unterschiedlichen Umständen verwendet. Zum Beispiel:
- Interoperable Kerberos-Clients verwenden die Kerberos-Protokolle. UNIX-basierte Systeme mit MIT Kerberos Version 5 1.1.1 können Benutzerkennwörter in einer Windows-basierten Domäne mithilfe des Kerberos-Kennwortänderungsprotokolls (Methode 3) ändern.
- Wenn Benutzer ihre eigenen Kennwörter ändern, indem Sie STRG+ALT+ENTF drücken und dann auf Kennwort ändern klicken, wird windows NT bis Windows 2003 der NetUserChangePassword-Mechanismus (Methode 1) verwendet, wenn das Ziel eine Domäne ist. Ab Windows Vista wird das Kerberos-Kennwortänderungsprotokoll für Domänenkonten verwendet. Wenn das Ziel ein Kerberos-Bereich ist, wird das Kerberos-Kennwortänderungsprotokoll (Methode 3) verwendet.
- Anforderungen zum Ändern eines Kennworts von Computern mit Microsoft Windows 95/Microsoft Windows 98 verwenden XACT-SMB (Methode 6).
- Ein Programm, das die ChangePassword-Methode auf der IaDSUser-Schnittstelle (Active Directory Services Interface, ADSI) verwendet, versucht zunächst, das Kennwort mithilfe von LDAP (Methode 5) und dann mit dem NetUserChangePassword-Protokoll (Methode 1) zu ändern.
- Ein Programm, das die SetPassword-Methode auf der ADSI-IaDSUser-Schnittstelle verwendet, versucht zuerst, das Kennwort mithilfe von LDAP (Methode 5), dann mit dem Kerberos-Protokoll set-password (Methode 4) und dann mit dem NetUserSetInfo-Protokoll (Methode 2) zu ändern.
- Das Active Directory-Benutzer und -Computer-Snap-In verwendet ADSI-Vorgänge zum Festlegen von Benutzerkennwörtern.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für