使用 ADSI SetPassword 方法如何将密码传输到 AD 服务器

Question

我的问题是 ADSI 如何执行 SetPassword 操作。根据我所读到的内容，ADSI 是一个 COM 接口，它比 AD 通过 LDAP 提供的功能更多。当您假设通过 LDAP 更新个人帐户实体的 unicodePwd 属性时，ADSI 为您提供 SetPassword 调用。我知道 ADSI 和AD 在身份验证期间提供 Kerberos。那么调用SetPassword时密码是如何传输到服务器的呢？它是原始二进制未加密数据吗？或者 Kerberos 是否会在这次调用中发挥作用？

Answer 1

首先，SetPassword 通过 ssl 尝试 ldap。然后是 kerberos，然后是 NetUserSetInfo。因此，据我所知，在所有情况下它都安全地在线上。但它也很慢。

Adam 中的情况并非如此 - 它使用明文密码。谨防与 Adam 对话而不是“正确的” AD 对话的包装器。

更快的方法是使用 IDirectoryObject 并通过它设置 unicodePwd 属性。由于这只能通过安全绑定到 AD 来完成，因此密码受到保护。