Kann eine Kennwortänderung in Active Directory zurückgesetzt werden?

7

Ich muss mich oft mit dem Domain-Konto eines Benutzers anmelden, um sicherzustellen, dass ich sein Profil korrekt eingerichtet habe. Es gibt jedoch keine einfache Möglichkeit, dies zu tun, außer ihn anzurufen und ihm einen temporären Pass zu geben und ihn zu zwingen, ihn zu ändern ( schlecht, da sie es oft vergessen) oder nach ihrem Passwort fragen (schlimmer.)

Gibt es eine Möglichkeit, das Passwort eines Benutzers zu ändern und es später wieder auf das Original zurückzusetzen? Ich habe versucht herauszufinden, ob es eine Möglichkeit gibt, den NTLM-Hash abzurufen, damit ich ihn später zurücksetzen kann, aber es scheint keine in AD integrierte Funktion dafür zu geben.

Jordan Milne
quelle
Ich würde denken, dass diese Frage in ServerFault.com gehört. Ich denke, wenn eine solche Funktion vorhanden ist, wäre dies ein Prüfungs- / Sicherheitsrisiko.
Knox
1
Nun, ich weiß, dass es möglicherweise unter Linux (zumindest lokal) ist, indem die Zeile aus / etc / shadow kopiert und ein Backup davon erstellt wird. Ich weiß nicht, ob Windows eine gleichwertige Option hat, ohne sich im abgesicherten Modus befinden oder von einer anderen Partition booten zu müssen.
Jordan Milne
ServerFault in der Tat.
Icelava

Antworten:

2

Klicken Sie in Windows XP mit der rechten Maustaste auf das My ComputerSymbol und wählen Sie Properties. Wählen Sie im daraufhin Advancedangezeigten Dialogfeld die Registerkarte. Es wird jetzt eine User ProfilesSchaltfläche geben. Klicken Sie darauf und Sie sollten in der Lage sein, das Profil Ihres Benutzers aus einer Liste auszuwählen. Klicken Sie auf die Copy ToSchaltfläche. In dem sich öffnenden Dialogfeld gibt es eine Option, mit der andere Personen Zugriff auf die Anmeldung bei einem Profil erhalten. Sie müssen es ein paar Mal hin und her kopieren und zwei Benutzerkonten besitzen, aber Sie können dies verwenden, um das Profil eines Benutzers zu optimieren, ohne dessen Kennwort zu kennen.

Kopieren Sie zunächst das Profil des anderen Benutzers in den Ordner, den Ihr alternatives Benutzerkonto verwenden würde, und achten Sie darauf, dass dieses Konto Zugriff auf die Anmeldung im Profil erhält. Melden Sie sich mit diesem Konto an und machen Sie mit dem Profil, was Sie wollen. Melden Sie sich dann wieder mit Ihrem ursprünglichen Konto an und löschen Sie das ursprüngliche Profil des Benutzers. Kopieren Sie nun das von Ihrem Alt-Konto geänderte Profil an seinen ursprünglichen Speicherort zurück und achten Sie darauf, dass der ursprüngliche Benutzer erneut auf das Profil zugreifen kann.

Wenn dies für ein neues Computer-Setup gilt, bei dem sich der ursprüngliche Benutzer noch nie angemeldet hat, können Sie Ihr gut konfiguriertes Profil über das Standardprofil kopieren.

Es ist erwähnenswert, dass diese Antwort nur deshalb gut ist, weil Sie die Frage markiert haben windows-xp. Der Prozess funktioniert unter Windows 7 nicht mehr, da einige Registrierungseinstellungen vom Kopierprofilprozess nicht sehr gut verarbeitet werden. Anstatt den Prozess "Profil kopieren" zu aktualisieren, hat Microsoft die Schaltfläche "Kopieren" einfach deaktiviert. Sie können Hacks finden, um es wieder zu aktivieren, aber keiner der Fehler behebt den Grund, warum die Schaltfläche deaktiviert wurde, und sollte daher vermieden werden.

Joel Coel
quelle
Ha! Ihr Benutzername hier ist viel besser als das lahme "Coehoorn"
-Ding
@ Quack ~ froh, dass jemand es schätzt
Joel Coel
Dies sollte eine viel bessere Lösung sein als ich dachte :)
Jordan Milne
2

Sie können ein vorheriges Kennwort nicht wiederherstellen, ohne das AD-Objekt wiederherzustellen (und es ist weder offensichtlich noch für den täglichen Gebrauch verwendbar).

Sie können das temporäre Kennwort mehrmals erzwingen (genau "Anzahl der gespeicherten Kennwörter"), damit der Benutzer sein Kennwort auf den Wert ändern kann, den er vor Ihren Änderungen verwendet hat. Ich denke, Sie könnten es mit einem Skript tun, wenn die "Anzahl der gespeicherten Passwörter" hoch ist.

Auf diese Weise müssen Sie sein Passwort nicht kennen und er wird sein "neues" Passwort nicht vergessen. Aber Sie müssen ihn immer noch anrufen, um ihm sein "temporäres" Passwort mitzuteilen.

En Batch:

FOR /L %B IN (1,1,<num>) DO NET USER <user> <tmppassword> /DOMAIN

Wo <num>ist die Anzahl der gespeicherten Kennwörter in Ihrer AD-Gruppenrichtlinie, <user>der Benutzername (vor Windows 2000) und <tmppassword>das temporäre Kennwort, das Ihrem Benutzer gegeben wurde.

Christophe Drevet-Droguet
quelle