1注意：1.LDAP无法获取windowsActiveDirectory用户密码2.系统管理员可以修改其他用户的密码（不需要知道原来的旧密码），或者用户可以修改自己的密码（用户必须知道自己的密码）。这些密码修改操作必须通过一个安全通道来执行，象SSL、TLS、Kerberos。3.Windows2000域控制器不支持TLS协议。但是Windows2000和WindowsServer2003域控制器都支持SSL。对基于SSL或TLS的会话，你的工作站（或指定的JRE）必须信任域控制器认证中心发布的CA证书。相关资料可到HYPERLINK"http://www.ldapchina.com"\t"_blank"www.ldapchina.com网站在看具体步骤如下：环境要求：一台安装ActiveDirectory的服务器,域名为security.boco一台安装证书服务(需安装企业根证书)的服务器，此服务器加入security域中一台安装JAVA应用的服务器，此服务器不需要加入security域中安装步骤：1安装ActiveDirectory域控制器2安装证书服务3以域用户登录到安装了证书服务的服务器中，导出域根证书和计算机证书第一步:进入MMC控制台，添加证书，选择本地计算机 HYPERLINK"http://www.hz10md.com/bbs/attachment.php?aid=654"\t"_blank"d1.jpg HYPERLINK"http://www.hz10md.com/bbs/attachment.php?aid=655"\t"_blank"dc1.jpg 进入MMC控制台 HYPERLINK"http://www.hz10md.com/bbs/attachment.php?aid=656"\t"_blank"dm1.jpg 添加证书管理单元，选择本地计算机个人-第二步展开刚增加的证书节点，选择证书>证书,选择CA证书，导出证书个人第三步展开证书节点，选择证书,右击所有任务，申请新证书,证书类型选择计算机类型 HYPERLINK"http://www.hz10md.com/bbs/attachment.php?aid=657"\t"_blank"xz.jpg HYPERLINK"http://www.hz10md.com/bbs/attachment.php?aid=658"\t"_blank"xz2.jpg 4将从证书中导出的两个证书文件,*.cer使用java的keytool工具创建或导入证书库文件中导入CA证书D:\Borland\jdk142_05\bin>keytool-import-keystoresecurity51.keystore-file51ADroot.cer输入keystore密码：lwfmahOwner:CN=securityCA,DC=security,DC=boco发照者：CN=securityCA,DC=security,DC=boco序号：72880fb3005cd7a54efa9c224241008b有效期间：ThuNov1020:48:49CST2005至：TueNov1020:55:33CST2015认证指纹：MD5：51:3F:C3:B1:C3:A6:EF:24:55:70:2A:25:0D:EB:57:59SHA1：B3:EE:CC:92:E3:D4:87:48:D4:1D:F3:53:5B:0E:99:E1:B7:0F:27:20信任这个认证？[否]：y认证已添加至keystore中导入申请的计算机证书D:\Borland\jdk142_05\bin>keytool-import-keystoresecurity51.keystore-aliascomkey-file51AD.cer输入keystore密码：lwfmah认证已添加至keystore中5编写如下代码修改ActiveDirecotry域用户密码publicstaticvoidmain(String[]args)throwsUnknownHostException,IOException{//java.net.Socketsock=newjava.net.Socket("10.110.180.50",636);//booleanb=sock.isConnected();Hashtableenv=newHashtable();StringadminName="cn=administrator,cn=users,DC=security,DC=boco";Stringadminpassword="123456789";StringuserName="CN=iam_l