Windows의 암호 변경 프로토콜에 대한 설명

이 문서에서는 Windows에서 암호를 변경하는 메커니즘에 대해 설명합니다.

적용 대상: Windows 10, Windows Server 2012 R2
원본 KB 번호: 264480

요약

Windows는 암호를 변경하는 데 다양한 메커니즘을 사용합니다. 이 문서에서는 이러한 메커니즘에 대해 설명합니다.

추가 정보

지원되는 암호 변경 프로토콜은 다음과 같습니다.

1. NetUserChangePassword 프로토콜
2. NetUserSetInfo 프로토콜
3. Kerberos 암호 변경 프로토콜(IETF 인터넷 초안 Draft-ietf-cat-kerb-chg-password-02.txt) [포트 464]
4. Kerberos 설정 암호 프로토콜(IETF 인터넷 초안 Draft-ietf-cat-kerberos-set-passwd-00.txt) [포트 464]
5. LDAP(Lightweight Directory Access Protocol) 쓰기 암호 특성(128비트 Secure Sockets Layer [SSL]을 사용하는 경우)
6. LAN 관리자(Pre-Microsoft Windows NT) 호환성을 위한 XACT-SMB

암호 변경 작업을 수행하려면 변경이 허용되기 전에 사용자의 현재 암호를 알려야 합니다. 암호 설정 작업에는 이 요구 사항이 없지만 계정에 대한 암호 재설정 권한으로 제어됩니다.

LDAP(메서드 5)를 사용하는 경우 도메인 컨트롤러와 클라이언트는 모두 128비트 SSL을 사용하여 연결을 보호할 수 있어야 합니다. 도메인 컨트롤러가 SSL에 대해 구성되지 않았거나 적절한 긴 키를 사용할 수 없는 경우 암호 변경 쓰기가 거부됩니다.

Active Directory 도메인 컨트롤러는 이러한 모든 프로토콜에서 변경 암호 요청을 수신 대기합니다.

이 문서의 앞부분에서 설명한 대로 다양한 프로토콜이 다양한 상황에서 사용됩니다. 예를 들면

• 상호 운용 가능한 Kerberos 클라이언트는 Kerberos 프로토콜을 사용합니다. MIT Kerberos 버전 5 1.1.1을 사용하는 UNIX 기반 시스템은 Kerberos 암호 변경 프로토콜(방법 3)을 사용하여 Windows 기반 도메인에서 사용자 암호를 변경할 수 있습니다.
• Ctrl+Alt+DELETE를 누른 다음 암호 변경을 클릭하여 사용자가 자신의 암호를 변경하는 경우 대상이 도메인인 경우 NetUserChangePassword 메커니즘(메서드 1)이 Windows 2003까지 Windows NT. Windows Vista부터 Kerberos 암호 변경 프로토콜이 도메인 계정에 사용됩니다. 대상이 Kerberos 영역인 경우 Kerberos 변경 암호 프로토콜(메서드 3)이 사용됩니다.
• Microsoft Windows 95/Microsoft Windows 98을 실행하는 컴퓨터에서 암호를 변경하라는 요청은 XACT-SMB(방법 6)를 사용합니다.
• ADSI(Active Directory Services Interface) IaDSUser 인터페이스에서 ChangePassword 메서드를 사용하는 프로그램은 먼저 LDAP(메서드 5)를 사용한 다음 NetUserChangePassword 프로토콜(메서드 1)을 사용하여 암호를 변경하려고 시도합니다.
• ADSI IaDSUser 인터페이스에서 SetPassword 메서드를 사용하는 프로그램은 먼저 LDAP(메서드 5), Kerberos set-password 프로토콜(메서드 4) 및 NetUserSetInfo 프로토콜(메서드 2)을 사용하여 암호를 변경하려고 시도합니다.
• Active Directory 사용자 및 컴퓨터 스냅인은 사용자 암호를 설정하기 위해 ADSI 작업을 사용합니다.