我有一個內部網,我的用戶使用他們的AD憑證登錄。在經典ASP中檢查登錄憑證時出現活動目錄錯誤
我想我已經把所有事情都做好了,但今天早上用戶報告說他們無法登錄。
他們收到以下錯誤,-2147023688
Active Directory error '800704b8'
An extended error has occurred.
/login/index.asp, line 26
好像它涉及到的密碼過期。
我想我已經覆蓋了錯誤-2147022989,明確指出密碼已過期,我將用戶重定向到密碼更改屏幕,在那裏他們可以通過ASP更新密碼。
是否有無法獲得有關擴展錯誤的更多信息,或者是否存在數值錯誤列表及其相應描述?
或者更好,我應該完全忽略這個錯誤,讓他們登錄,他們下次登錄到他們的電腦時只需更改密碼?
謝謝。
瑪莎是不正確的。您的代碼實際上可以更改用戶密碼,只要它具有必要的權限即可。您的網站將需要在AD內作爲用戶帳戶運行。您沒有提及您使用的是哪個版本的IIS,因此不可能爲您提供有關如何配置站點的具體說明。
也就是說,授予您的網站修改用戶密碼的權限是一種安全風險,您應該權衡您的網站進行這類更改的必要性。如果您的網站遭到入侵,攻擊者將能夠在與您的網站相同的安全環境中執行命令。因此,攻擊者可能會爲用戶重置密碼並以他們的身份登錄,並使用它來升級攻擊。
您將決定您的代碼提供的便利性和潛在的安全風險是否值得獎勵。
如果您的網站作爲AD內的用戶帳戶運行,那麼您爲什麼需要在AD下登錄?換句話說,這裏有一個雞與雞蛋的問題。 – Martha
他需要登錄到AD以通過他的Web應用程序更改用戶密碼。這就是整個問題。不要粗魯,但有一些你顯然不理解。以下是討論重置用戶密碼所需的最低權限的文檔:http://support.microsoft.com/kb/296999。要清楚,他沒有配置IIS以用戶身份登錄,他將IIS配置爲以有權重置其他用戶密碼的服務帳戶登錄。該服務帳戶必須是域成員才能擁有重置用戶密碼的必要權限。 –
除OP顯然希望*用戶*有能力更改他們的密碼。如果他希望管理員爲他們更改它,則不需要通過IIS來完成。 – Martha
我不認爲IIS將允許用戶更改他們的AD密碼。如果有意義的話,那麼刪除的圖層太多了。如果您想使用AD來處理網站安全性,您必須*設置密碼永不過期。 (無論如何,過期密碼都是一堆垃圾文件。) – Martha