С помощью метода ADSI SetPassword, как пароль передается на сервер AD

Question

У меня вопрос, как ADSI выполняет SetPassword операцию. Согласно тому, что я прочитал, ADSI является COM-интерфейсом и имеет больше возможностей, чем AD предоставляет через LDAP. Предполагается, что вы обновляете атрибут unicodePwd объекта personaccount через LDAP, ADSI предоставляет вам вызов SetPassword. Я знаю, что ADSI & AD предоставляет Kerberos во время аутентификации. Так как пароль передается на сервер при вызове SetPassword? Это необработанные двоичные незашифрованные данные? Или Kerberos входит в игру по этому вызову?

Answer 1

Во-первых, SetPassword пытается использовать ldap через ssl. затем Kerberos, а затем NetUserSetInfo. Итак, насколько я могу судить, во всех случаях это безопасно на проводе. Но это также довольно медленно.

Это не относится к Адаму - он использует пароли в открытом виде. Остерегайтесь обёрток, которые говорят с Адамом вместо «правильной» нашей эры.

Более быстрый способ - использовать IDirectoryObject и через него установить атрибут unicodePwd. Поскольку это можно сделать только с помощью безопасной привязки к AD, пароль защищен.