none
关于AD用户开启replicating directory changes属性的问题 RRS feed

  • 问题

  • 客户有个用用系统需要用一个AD账号开通委派控制的
    replicating directory changes和replicating directory changes all属性,希望确认这两个属性是做什么用的
    2017年12月19日 3:22

答案

  • 您好 ,

    目前问题还有其他的疑问吗?如果有任何疑问,您可以随时在贴下进行回复。如果回复对您有帮助的话,您可以把回复标记为答复。

    感谢您的理解和支持。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 lowke 2017年12月20日 6:58
    2017年12月20日 5:44
    版主

全部回复

  • 您好 ,

    Replicating Directory Changes All:扩展权限,提供复制对象的所有数据的能力,包括密码数据,可为AD用户和计算机“ DCSync ”密码数据提供“ DCSync ”功能。

    通常不建议给应用程序开启Replicating Directory Changes All的属性,例如SharePoint的应用程序,出于安全性的考虑,不建议同步密码,因此开启replicating directory changes的属性就足够了。

    您可以参考以下的链接:

    Difference between "Replicating Directory Changes", "Replicating Directory Changes All", and "Replication Directory Changes in Filtered Set"

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/cc72be66-30c4-420e-8de3-9085858037bc/difference-between-replicating-directory-changes-replicating-directory-changes-all-and?forum=winserverDS

    Replication Directory Changes _ Permission in Domain 

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/c021637c-b188-48b6-b16f-12a4b163b068/replication-directory-changes-permission-in-domain?forum=winserverDS

    如果回复对您有帮助的话,请您把回复标记为答复,方便论坛中有其他相同问题的用户快速找到答案。

    感谢您的理解和支持。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 lowke 2017年12月19日 8:31
    • 取消答案标记 lowke 2017年12月20日 0:24
    2017年12月19日 6:57
    版主
  • 开启Replicating Directory Changes All属性是否能解密读取到邮件所有内容
    2017年12月20日 0:25
  • Hi ,

    Replicating Directory Changes All的属性只是授权允许复制AD用户账户密码数据。并不能解密解读邮件的内容。两者通常是没有关系的。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月20日 1:55
    版主
  • 我理解为,只能读取到AD账号和密码,不能直接读取到邮件,但是可以通过读取到的AD账号密码登录邮件服务器来获得邮件,是这样吧
    2017年12月20日 2:18
  • Hi ,

    >>只能读取到AD账号和密码,不能直接读取到邮件,但是可以通过读取到的AD账号密码登录邮件服务器来获得邮件

    可以理解成这个意思,不过读取到的是加密过的AD账号和密码,如果单纯的只是获取到了乱码的AD账户和密码,也还是无法登陆邮件服务器的。

    Replicating Directory Changes All允许复制AD账户和密码,但是获取到的也是加密过的密码(账户名可能也是加密过的),大多数是以乱码的形式拿到。也就是说前提是能把这些复制到的加密形式的AD账号和密码破解成明文之后,才能登陆。但是如果AD账户和密码都被破解了,能够登陆就不仅仅是邮件服务器了。因此,我们才会不建议开启Replicating Directory Changes All的属性给应用程序。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2017年12月20日 2:34
    版主
  • 您好 ,

    目前问题还有其他的疑问吗?如果有任何疑问,您可以随时在贴下进行回复。如果回复对您有帮助的话,您可以把回复标记为答复。

    感谢您的理解和支持。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 lowke 2017年12月20日 6:58
    2017年12月20日 5:44
    版主