Wyobraźmy sobie sytuację, w której każdy z członków zespołu IT ma możliwość resetowania hasła użytkownika w Active Directory.
Załóżmy, że cała domena jest objęta polityką dotyczącą haseł: ważność 30 dni, minimalna ilość znaków: 8, pamięta do 12 haseł wstecz, wymagaj skomplikowanego hasła: tak.
W jaki sposób możemy sprawdzić, czy Administratorzy regularnie zmieniali hasło na inne? Jak wiadomo, mogą nadpisać swoje hasło w Active Directory starym hasłem odnawiając okres ważności hasła.
(Nie)stety z Active Directory nie wyciągniesz takowej informacji. Ma to związek z tym, że Active Directory rozróżnia 2 mechanizmy zmian haseł:
1. Zmiana hasła (change), która wymaga znajomości starego/obecnego hasła
2. Reset hasła - które jest dodatkowym uprawnieniem i nie wymaga znajomości poprzedniego/obecnego hasła.
Ma to też związek z implementacją zabezpieczeń. Gdyby było inaczej, to administrator mógłby poznać poprzednie hasła użytkowników (dostawałby informację o tym, że dane hasło było już wykorzystane...).
Tak więc, żeby mieć pewność, że administrator zmienił hasło, a nie zresetował go na identyczne z wcześniejszym, musiałbyś wymusić na administratorze zmianę hasła zamiast resetowania. :)
Bardzo dobra odpowiedź Pana Marcina.
Uzupełniając zdanie: "Tak więc, żeby mieć pewność, że administrator zmienił hasło, a nie zresetował go na identyczne z wcześniejszym, musiałbyś wymusić na administratorze zmianę hasła zamiast resetowania. :)"
Chodzi o poniżej wyświetlone uprawnienia:
Warto dodać, że opisaną sytuację możemy rozróżnić w logach:
Zmiana hasła zdarzenie id 627:
http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+Operating+System&ProdVer=5.0&EvtID=627&EvtSrc=Security
Reset hasła zdarzenie id 628:
http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+Operating+System&ProdVer=5.0&EvtID=628&EvtSrc=Security
Dodatkowy link opisujący numer zdarzeń operacji wykonanych na obiekcie klasy "user":
https://technet.microsoft.com/en-us/library/cc737542%28v=ws.10%29.aspx
