现象:
意外发现一个很奇异的现象,用户在改掉自己AD账号的密码之后,新密码立即可用,但 旧密码也同样可用。
测试:
为了了解这个问题的本质,我做了很多的测试,发现这个问题 确实普遍存在,而且新旧密码都可以使用的时间,精确的控制在整整5分钟,一秒不多,一秒不少。
为尽可能排除其他因素的干扰,每次密码修改过程都在DC上进行。总共测试的DC有3台,DC01、 DC02为同一站点,其中DC01为PDC仿真器,另外一台为外地站点的DC03。为提高效率,用WS-*写了一个查 询界面,用于返回“OK”,或者“Incorrect”值,来表示密码正确或者错误。旁 边开启Windows自带的始终,精确到秒进行观察。
先来说说站点内测试的情况。
测试账户 原始密码为“11”,输入密码“11”返回结果“OK”,输入密码 “22”返回结果“Incorrect”。
在DC02上修改密码为“22”, 输入密码“22”返回结果“OK”,输入密码“11”同样返回结果 “OK”。
不断尝试密码“11”,均返回“OK”结果。在5分钟之 后,返回结果变为“Incorrect”。
在DC01上修改密码为“33”,输入密码 “33”返回结果“OK”,输入密码“22”仍然返回结果 “OK”。
与之前一样,不断尝试密码“22”,均返回“OK”结 果。5分钟之后,返回结果变为“Incorrect”。
值得注意的是,如果同时在DC01、 DC02上修改掉密码,那么旧密码会立刻失效。
站点间的情况大体相当,我连接本地AD站点进行查 询,DC随机,修改密码操作在外地的DC03上进行。
为更清楚的说明问题,下图是ADSI信息的截图 ,从左到右分别是DC01、DC02、DC03三台的ADSI属性选项。
时间: 2024-09-25 16:13:56