Вопрос: Как сохранить / восстановить пароль Windows AD?


Нам часто приходится настраивать, тестировать или восстанавливать программное обеспечение, когда пользователей нет.
Например, сегодня один из нас настроил новую учетную запись электронной почты на компьютере пользователя, но пользователь находится в отпуске. Это требует, чтобы мы выдавали себя за пользователя.

Работа на компьютере, когда пользователи здесь не очень приятны для нас и для них. Но это часто требует, чтобы мы спрашивали у них пароль учетной записи Windows, или мы меняем его, прежде чем мы его используем, и тогда пользователь должен изменить его, когда он вернется, но для этого требуется, чтобы он понял, что произошло.

Есть ли (быстрый) способ сохранить, а затем восстановить пароли Active Directory?
1 - мы сохраняем пароль
2 - мы меняем пароль на TECHPASS123
3 - мы работаем на компьютере, и мы проверяем, все ли в порядке с учетной записью пользователя
4 - мы восстанавливаем исходный пароль


7
2018-05-07 17:21


Источник


Нет, нет. (Технически есть, что объясняется в этой статье: blog.teusink.net/2009/08/passwords-stored-using-reversible.html). - joeqwerty
Опасайтесь, что он не просит восстановить исходный пароль, он только хочет сохранить / восстановить его. Предположим, что AD хранит пароли, соленые + хешированные. Было бы достаточно получить этот хеш, временно использовать другой пароль, а затем восстановить хэш. Однако я не знаю, если это возможно. - Jeff
может runas / savedcred решить некоторые из исходных проблем? - rackandboneman
runas / savecred не решают проблему, потому что нам часто нужна среда реального пользователя. Например, мы настраиваем свойства печати для сложного программного обеспечения. Поэтому мы должны настроить принтер в этой учетной записи и запустить программное обеспечение, для которого требуются его подключенные диски, которые используют Microsoft Office и т. Д. - Gregory MOUSSAT
для вашего комментария выше. GPO может отображать диски и устанавливать принтеры. Вы можете реплицировать практически любой процесс настройки, который вы будете делать с GPO. Вам просто нужно научиться этому. - Zapto


Ответы:


Для локального компьютера вы можете просто сделать это, скопировав c:\windows\system32\config\sam файл на временный. Закончив, просто скопируйте назад.
Но вы не можете этого сделать, пока работает Windows. Поэтому вам нужно использовать компакт-диск Linux или загрузить с компакт-диска Windows и открыть командную строку.

Для первой части вы можете сделать это онлайн с учетной записью системы runas или с теневой копией. Так что это простой шаг.
Последняя часть должна быть выполнена в автономном режиме. Если кто-нибудь найдет, как это сделать в Интернете, я буду рад узнать, как это сделать.

Обратите внимание, что при проверке повторного использования пароля может возникнуть проблема.

Проблема в том, что это не работает с активным каталогом, потому что вы не хотите перезагружать сервер в середине дня. И если у вас несколько контроллеров домена, это не работает вообще.

Некоторые программные средства могут делать это на лету. Я использовал один, я забыл имя (у него есть «миграция» в его имени), и это слишком сложно для этого использования. Я не знаю, существует ли он больше, и если он работает 7 или 2008 год. Возможно, более легкое программное обеспечение существует, но я его не знаю.


3
2018-05-07 22:59





Это плохая идея по нескольким причинам:

Он обходит контрольный след
Когда вы меняете пароль пользователя, чтобы выдать себя за него, а затем изменить его. Есть тропа, что вы сделали это. Это дает вам отрицание и защищает вас, если что-то происходит с учетной записью этого пользователя. Было бы очень плохой политикой, позволяющей обойти эту тропу.

Представьте себе, что работник уволен за то, что детскую порнографию. Если у вас есть политика поменять этот хеш по желанию, существует мало-по-настоящему способ доказать, что сотрудник был тем, кто сделал это, а не вы. Если вам нужно сбросить пароль, в нем будет запись о журнале, в которой будет указано время, в которое вы вошли в качестве этого пользователя.

Это чрезвычайно сложно сделать
Хотя теоретически это возможно, вам нужно изменить целую кучу вещей, которые оставят ваш Active Directory в неподдерживаемом состоянии. Это, очевидно, не очень хорошо. Или вы можете хранить пароли в режиме реверсивного шифрования, но это очень плохая идея.

Это уменьшает связь между вами и пользователями
Отчасти хорошая поддержка пользователей - это общение с ними. При необходимости установить, а затем сбросить свой пароль, когда требуется олицетворение, вам необходимо связаться с этим пользователем и объяснить, что произошло и почему. Это дает больше чувства доверия, чем просто войти в одно утро и увидеть, что все по-другому.


8
2018-05-07 18:28



+1 контрольный журнал является обязательным. - Zapto
@ t1nt1n, поэтому они делают волшебный инструмент для переключения паролей записывать много журналов. - Zoredache
@Zoredache Будет ли этот ручной магнитофон волшебного пароля переключаться в случае неправомерного завершения? :) - MDMarra
рукописная? Зачем ему нужно писать вручную? Почему они не отправляют журнал в стандартные журналы безопасности Windows? - Zoredache
Я должен был сказать «ручная кодировка». Извините за путаницу. - MDMarra