用于大型网络的Windows帐户密码重置过程

Question

我正在开发基于大型windows的网络环境(Active Directory)，并且我需要为windows用户实现明确和安全的密码重置过程。特别是管理层要求对我们工厂使用的所有应用程序使用相同的流程。

目前，我们要求他们提高服务台门票，IT团队将根据他们的要求重置。但是我们在这个过程中有安全问题，因为如果windows密码丢失了，他会要求向另一个用户出示票证。因此，任何用户都可以为其他用户请求更改密码。

什么是技术解决方案和程序，以避免这一安全问题和重置用户密码安全。

Answer 1

目前，我们要求他们提高服务台门票，IT团队将根据他们的要求重置。但是我们在这个过程中有一个安全问题，因为如果寡妇的密码丢失了，他要求向另一个用户出示一张罚单。因此，任何用户都可以为其他用户请求更改密码。

事实上，在一些公司，即使是通过电话，也可以要求重新设置密码。

什么是技术解决方案和过程，以避免这个安全问题，并安全地重置用户密码。

从理论上讲，服务台应该对请求的用户进行验证，例如检查呼叫电话号码或将用户拨回已注册的(公司)电话。

在我们公司，我们有一个自助服务(网页)，用户可以注册他们的备用电话号码，电子邮件(例如私人电子邮件)，安全问题。在这种情况下，他们可以自己重置他们的域密码。

Answer 2

安全密码重置总是一场安全噩梦。要解决这个问题，您必须找到一种方法来安全地识别请求者，而无需询问他们的密码。如果应用程序密码不是电子邮件密码，这是很容易的，因为您有一个备用通道来发送允许输入重置密码应用程序的秘密。

如果用户不是唯一的用户，他们可以要求同桌从他们的帐户发送请求，help_desk (或自动系统)记录请求发送者，并通过邮件向他们发送一个一次性的秘密令牌。然后，他们可以将该令牌交给原始用户，然后它就可以工作了。这里的关键是任何人都可以为任何其他用户请求一个密码重置令牌，但是请求会被记录下来。因此，如果系统被滥用，团队经理将在现实世界中采取行动。

如果用户可以在家工作，那么您必须通过他们的个人电子邮件建立备用渠道，但您应该首先与法律服务部门联系，因为将员工的个人电子邮件存储在数据库中在某些国家可能有法律意义--从根本没有问题到严格禁止通过，您需要向员工代表声明，并由每个有权使用该系统的员工签署协议。

长话短说，它将归结为我如何能够安全地识别某人而不交换一个预先共享的秘密(丢失的密码)。上面的方式是另一个人，或者另一个电子邮件地址。您必须为您的实际用例找到不那么糟糕的解决方案(这可能是第三种方法.)。