Описание протоколов смены пароля в Windows

  • Статья

В этой статье описаны механизмы изменения паролей в Windows.

Область применения: Windows 10, Windows Server 2012 R2
Оригинальный номер базы знаний: 264480

Сводка

Windows использует множество различных механизмов для изменения паролей. В этой статье описаны эти механизмы.

Дополнительная информация

Поддерживаемые протоколы смены паролей:

  1. Протокол NetUserChangePassword
  2. Протокол NetUserSetInfo
  3. Протокол изменения пароля Kerberos (IETF Internet Draft Draft-ietf-cat-kerb-chg-password-02.txt) [порт 464]
  4. Протокол kerberos set-password (IETF Internet Draft Draft-ietf-cat-kerberos-set-passwd-00.txt) [порт 464]
  5. Атрибут пароля для записи протокола LDAP (если используется 128-разрядный протокол SECURE Sockets Layer [SSL])
  6. Совместимость XACT-SMB для предварительной версии Microsoft Windows NT (LAN Manager)

Операции смены пароля требуют, чтобы текущий пароль пользователя был известен, прежде чем изменение будет разрешено. Операции установки пароля не имеют этого требования, но управляются разрешениями сброса пароля в учетной записи.

При использовании ПРОТОКОЛА LDAP (метод 5) контроллер домена и клиент должны иметь возможность использовать 128-разрядный ПРОТОКОЛ SSL для защиты подключения. Если контроллер домена не настроен для SSL или если недоступен соответствующий длинный ключ, запись при изменении пароля будет запрещена.

Контроллер домена Active Directory прослушивает запросы на изменение пароля по всем этим протоколам.

Как упоминалось ранее в этой статье, различные протоколы используются в разных обстоятельствах. Например:

  • Совместимые клиенты Kerberos используют протоколы Kerberos. Системы на базе UNIX с MIT Kerberos версии 5 1.1.1 могут изменять пароли пользователей в домене Windows с помощью протокола Kerberos change-password (метод 3).
  • Когда пользователи изменяют собственные пароли, нажимая клавиши CTRL+ALT+DELETE, а затем нажимая кнопку Изменить пароль, Windows NT до Windows 2003 используется механизм NetUserChangePassword (метод 1), если целевой объект является доменом. Начиная с Windows Vista протокол изменения пароля Kerberos используется для учетных записей домена. Если целевой объект является областью Kerberos, используется протокол изменения пароля Kerberos (метод 3).
  • Запросы на изменение пароля с компьютеров под управлением Microsoft Windows 95 или Microsoft Windows 98 используют XACT-SMB (метод 6).
  • Программа, использующая метод ChangePassword в интерфейсе IaDSUser интерфейса служб Active Directory (ADSI) сначала пытается изменить пароль с помощью протокола LDAP (метод 5), а затем с помощью протокола NetUserChangePassword (метод 1).
  • Программа, использующая метод SetPassword в интерфейсе ADSI IaDSUser, сначала пытается изменить пароль с помощью протокола LDAP (метод 5), затем протокола set-password Kerberos (метод 4), а затем протокола NetUserSetInfo (метод 2).
  • Оснастка Пользователи и компьютеры Active Directory использует операции ADSI для установки паролей пользователей.