Aus administrativen Gründen muss ich mich manchmal als ein anderer Benutzer anmelden, um ein Problem mit seinem Konto zu diagnostizieren. Ich möchte dies tun können, ohne ihr Passwort ändern zu müssen, damit ich sie nicht ständig belästigen muss. Unter Unix kann ich einfach das verschlüsselte Passwort aus der passwd-Datei speichern, das Passwort ändern und dann das alte verschlüsselte Passwort wieder in die passwd-Datei bearbeiten. Gibt es eine Möglichkeit, in AD etwas Ähnliches zu tun?
Antworten:
Da MarkM bereits erklärt hat, warum wir Benutzerkennwörter nicht ersetzen und wiederherstellen sollten, werde ich versuchen zu untersuchen, wie das System uns daran hindert, diese Änderungen vorzunehmen.
Unter Unix wurden die Passwort-Hashes ursprünglich in gespeichert /etc/passwdund konnten von jedem gelesen werden. Neuere Unix-Systeme haben erkannt, dass jeder Benutzer möglicherweise Kennwörter stehlen kann, und speichern die Kennwort-Hashes, /etc/shadowdie nur von gelesen werden können root.
Windows folgte einem ähnlichen Weg. In einer Domänenumgebung werden die Kennwort-Hashes von Domänenbenutzern in der SAM-Registrierungsstruktur auf jedem Domänencontroller gespeichert. Sie kennen wahrscheinlich bereits Bienenstöcke wie HKLM und HKCU.
Ab Windows 2000 wird der SAM-Hive mit einem 128-Bit-Kennwortverschlüsselungsschlüssel verschlüsselt, der selbst mit dem SYSKEY verschlüsselt wird . Es sollte offensichtlich sein, dass der Verschlüsselungsschlüssel irgendwo auf dem Computer gespeichert werden muss, da das Betriebssystem den Inhalt des Hives lesen muss, um Benutzer bei der Anmeldung zu authentifizieren. Weitere Informationen zu den verwendeten Verschleierungstechniken finden Sie in SysKey und im SAM .
Windows ist sehr bemüht zu verhindern, dass administrative Benutzer die Hashes direkt lesen / schreiben können und normalerweise nur lsass.exeausgeführt werden, wenn der SYSTEMBenutzer die Hashes lesen kann.
Ich bin mir jedoch sicher, dass Sie auf Tools gestoßen sind, die diesen Schutz umgehen. Ist beispielsweise fgdumpin der Lage, Kennwort-Hashes von einem Live-System durch Einfügen von Code zu exportieren lsass.exe, obwohl dies möglicherweise das gesamte System zum Absturz bringen kann. Und es gibt eine Vielzahl von bootfähigen Tools, die Kennwort-Hashes überschreiben können, wenn Windows nicht ausgeführt wird.
Obwohl es theoretisch möglich ist, Benutzerkennwörter zu ersetzen, müssen Sie zunächst eine Vielzahl von Schutzfunktionen umgehen, die in das Windows-Betriebssystem integriert sind. Jede dieser Methoden kann Ihr System destabilisieren und sollte niemals in einer Produktionsumgebung verwendet werden.
Nein, das kannst du nicht.
Denkanstöße: Wenn Sie für ein Unternehmen mittlerer Größe arbeiten, gibt es wahrscheinlich eine Richtlinie, die es IT-Mitarbeitern (oder anderen Bereichen) untersagt, sich ohne deren ausdrückliche Zustimmung als andere Benutzer auszugeben. Wenn in Ihrem Unternehmen keine solche Richtlinie vorhanden ist, sollten Sie diese unbedingt in Betracht ziehen.
Ich habe dies noch nie nur mit dem Kennwort gesehen, obwohl Sie möglicherweise das AD-Objekt sichern / wiederherstellen können.
Eine andere Möglichkeit besteht darin, das Kennwort mit dem AD-Tool für Benutzer und Computer von AD zurückzusetzen. Damit können Sie die Sicherheitsbeschränkungen für die Wiederverwendung von Kennwörtern umgehen.
Das ist nicht möglich. Die Passwörter werden mit irreversibler Verschlüsselung gespeichert. Sie können dieses Verhalten jedoch ändern, indem Sie das Kontrollkästchen neben "Kennwort mit reversibler Verschlüsselung speichern" auf der Registerkarte "Konto" im Dialogfeld "Eigenschaften" des gewünschten Benutzerobjekts aktivieren. Zukünftige Passwortänderungen werden mit reversibler Verschlüsselung gespeichert.
Ich halte das Exportieren dieser Informationen aus der AD-Datenbank nicht für möglich.
Der Schrank, zu dem Sie kommen könnten, setzt das Passwort über ADUC für Ihre Verwendung zurück und setzt es zurück, damit der Benutzer sein eigenes Passwort zurückgeben kann. Ich bin mir jedoch nicht sicher, ob hier Einschränkungen bei der Wiederholung von Passwörtern zum Tragen kommen würden.
Verwenden Sie alternativ ein Tool wie AMMYY, um mit der Sitzung des Benutzers zu interagieren. Wenn es sich um ein Problem mit dem Computer selbst handelt, lassen Sie ihn sich als Administrator abmelden und RDP anmelden.