Sichern und Wiederherstellen des Active Directory-Kennworts pro Benutzer

7

Aus administrativen Gründen muss ich mich manchmal als ein anderer Benutzer anmelden, um ein Problem mit seinem Konto zu diagnostizieren. Ich möchte dies tun können, ohne ihr Passwort ändern zu müssen, damit ich sie nicht ständig belästigen muss. Unter Unix kann ich einfach das verschlüsselte Passwort aus der passwd-Datei speichern, das Passwort ändern und dann das alte verschlüsselte Passwort wieder in die passwd-Datei bearbeiten. Gibt es eine Möglichkeit, in AD etwas Ähnliches zu tun?

active-directory password Robert Perlberg
quelle

Antworten:

17

Da MarkM bereits erklärt hat, warum wir Benutzerkennwörter nicht ersetzen und wiederherstellen sollten, werde ich versuchen zu untersuchen, wie das System uns daran hindert, diese Änderungen vorzunehmen.

Unter Unix wurden die Passwort-Hashes ursprünglich in gespeichert /etc/passwdund konnten von jedem gelesen werden. Neuere Unix-Systeme haben erkannt, dass jeder Benutzer möglicherweise Kennwörter stehlen kann, und speichern die Kennwort-Hashes, /etc/shadowdie nur von gelesen werden können root.

Windows folgte einem ähnlichen Weg. In einer Domänenumgebung werden die Kennwort-Hashes von Domänenbenutzern in der SAM-Registrierungsstruktur auf jedem Domänencontroller gespeichert. Sie kennen wahrscheinlich bereits Bienenstöcke wie HKLM und HKCU.

Ab Windows 2000 wird der SAM-Hive mit einem 128-Bit-Kennwortverschlüsselungsschlüssel verschlüsselt, der selbst mit dem SYSKEY verschlüsselt wird . Es sollte offensichtlich sein, dass der Verschlüsselungsschlüssel irgendwo auf dem Computer gespeichert werden muss, da das Betriebssystem den Inhalt des Hives lesen muss, um Benutzer bei der Anmeldung zu authentifizieren. Weitere Informationen zu den verwendeten Verschleierungstechniken finden Sie in SysKey und im SAM .

Windows ist sehr bemüht zu verhindern, dass administrative Benutzer die Hashes direkt lesen / schreiben können und normalerweise nur lsass.exeausgeführt werden, wenn der SYSTEMBenutzer die Hashes lesen kann.

Ich bin mir jedoch sicher, dass Sie auf Tools gestoßen sind, die diesen Schutz umgehen. Ist beispielsweise fgdumpin der Lage, Kennwort-Hashes von einem Live-System durch Einfügen von Code zu exportieren lsass.exe, obwohl dies möglicherweise das gesamte System zum Absturz bringen kann. Und es gibt eine Vielzahl von bootfähigen Tools, die Kennwort-Hashes überschreiben können, wenn Windows nicht ausgeführt wird.

Obwohl es theoretisch möglich ist, Benutzerkennwörter zu ersetzen, müssen Sie zunächst eine Vielzahl von Schutzfunktionen umgehen, die in das Windows-Betriebssystem integriert sind. Jede dieser Methoden kann Ihr System destabilisieren und sollte niemals in einer Produktionsumgebung verwendet werden.

Nic
quelle
3
Ausgezeichnete Antwort, die viel mehr Gegenstimmen verdient als meine,
MDMarra
12

Nein, das kannst du nicht.

Denkanstöße: Wenn Sie für ein Unternehmen mittlerer Größe arbeiten, gibt es wahrscheinlich eine Richtlinie, die es IT-Mitarbeitern (oder anderen Bereichen) untersagt, sich ohne deren ausdrückliche Zustimmung als andere Benutzer auszugeben. Wenn in Ihrem Unternehmen keine solche Richtlinie vorhanden ist, sollten Sie diese unbedingt in Betracht ziehen.

MDMarra
quelle
2
+1 für die Erklärung des wahrscheinlichsten Grundes, warum dies nicht möglich ist
Nic
Haben Sie Zitate, die die Idee unterstützen, dass Sie nicht können?
Zoredache
Der Kicker hier ist, dass in dem von Robert Perlbergs Frage dargelegten Szenario der Identitätswechsel auftreten kann, ohne explizit protokolliert zu werden. Windows ist so konzipiert, dass es einen Überwachungspfad hinterlässt, wenn Administratoren mit Benutzerkonten arbeiten.
Quux
3

Ich habe dies noch nie nur mit dem Kennwort gesehen, obwohl Sie möglicherweise das AD-Objekt sichern / wiederherstellen können.

Eine andere Möglichkeit besteht darin, das Kennwort mit dem AD-Tool für Benutzer und Computer von AD zurückzusetzen. Damit können Sie die Sicherheitsbeschränkungen für die Wiederverwendung von Kennwörtern umgehen.

derjur
quelle
3

Das ist nicht möglich. Die Passwörter werden mit irreversibler Verschlüsselung gespeichert. Sie können dieses Verhalten jedoch ändern, indem Sie das Kontrollkästchen neben "Kennwort mit reversibler Verschlüsselung speichern" auf der Registerkarte "Konto" im Dialogfeld "Eigenschaften" des gewünschten Benutzerobjekts aktivieren. Zukünftige Passwortänderungen werden mit reversibler Verschlüsselung gespeichert.

Ich halte das Exportieren dieser Informationen aus der AD-Datenbank nicht für möglich.

Brett Anspach
quelle
2
Er fragte nicht, ob er es rückgängig machen könne. Er möchte den aktuellen Hash einfach an einem anderen Ort speichern und dann wiederherstellen können.
Zoredache
0

Wenn Ihre Frage legitim ist, sollten Sie den Benutzer nur nach seinem Passwort fragen und ihn dann zurücksetzen lassen, sobald Sie mit der "Diagnose" fertig sind. Auf diese Weise sind Sie transparent und der Benutzer weiß genau, was im Hintergrund vor sich geht.

lluke
quelle
0

Der Schrank, zu dem Sie kommen könnten, setzt das Passwort über ADUC für Ihre Verwendung zurück und setzt es zurück, damit der Benutzer sein eigenes Passwort zurückgeben kann. Ich bin mir jedoch nicht sicher, ob hier Einschränkungen bei der Wiederholung von Passwörtern zum Tragen kommen würden.

Verwenden Sie alternativ ein Tool wie AMMYY, um mit der Sitzung des Benutzers zu interagieren. Wenn es sich um ein Problem mit dem Computer selbst handelt, lassen Sie ihn sich als Administrator abmelden und RDP anmelden.

Bigbio2002
quelle
Das Alter und die Wiederholungsanforderungen des Passworts hindern jemanden mit entsprechenden Rechten nicht daran, ein Passwort auf ein vorheriges zurückzusetzen. Es verhindert nur, dass der Endbenutzer ihn in einen im Verlauf ändert.
MDMarra
Ja. Wenn ein Administrator das Benutzerkennwort auf einen bekannten Standard zurücksetzt und es beim nächsten Anmelden vom Benutzer ändern lässt, können hier die Einschränkungen ins Spiel kommen.
Bigbio2002