关于AD域在通过LDAP认证登录时密码修改后还可使用旧密码正常登录问题解决方法

Posted 2020-07-04

最近一直在做一个LDAP的管理认证登录平台，但是发现在Active Directory中修改用户账号密码后，LDAP认证还可以正常通过认证，并登录系统，这是什么原因了？

在查看相关资料后发现，系Active Directory原因造成；那么应该如何解决这个问题了，可以通过修改旧密码的生命周期时间可以解决此问题；

具体原因：

?域用户成功更改密码使用 NTLM 后，旧密码仍然可用于网络访问用户可定义的时间段。此行为允许帐户，如服务帐户，登录到多台计算机来访问网络，而密码更改会传播。

?密码的扩展寿命期仅适用于网络访问使用 NTLM。交互式登录行为保持不变。此行为不适用于客户承载独立服务器或成员服务器上。只有域用户会受到这种现象。

?旧密码的生命周期时间可以通过编辑上的域控制器的注册表配置。需要重新启动计算机，此注册表更改才会生效。

解决方法：

若要更改旧密码的生命周期时间，添加到域控制器上的以下注册表子项中名为 OldPasswordAllowedPeriod 的 DWORD 项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

若要执行此操作，请按照下列步骤操作：

1）单击“开始”，单击“运行”，键入“regedit”，然后单击“确定”

2）找到并单击以下注册表子项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3）在编辑菜单上，指向新建，然后单击DWORD 值。

同名的 dword 值，键入OldPasswordAllowedPeriod ，然后按 enter 键。

OldPasswordAllowedPeriod右键单击，然后单击“修改”，在数值数据框中，键入以分钟为单位的所需值，然后单击“确定”修改完成；

注意事项：

在修改对应的生命周期时间后，这时候意味着你无法访问任何信息，在常规情况下我们是不建议这样子修改的；