Wie speichere / stelle ich ein Windows AD-Kennwort wieder her?

7

Wir müssen oft Software optimieren, testen oder reparieren, wenn die Benutzer nicht da sind.
Zum Beispiel hat heute einer von uns ein neues E-Mail-Konto auf dem Computer eines Benutzers eingerichtet, aber der Benutzer ist im Urlaub. Dies erfordert dann, dass wir uns als Benutzer ausgeben.

Die Arbeit an einem Computer, wenn Benutzer nicht hier sind, ist für uns und sie sehr nett. Dies erfordert jedoch häufig, dass wir sie nach ihrem Windows-Kontokennwort fragen oder es ändern, bevor wir es verwenden, und der Benutzer muss es dann wieder ändern, wenn er zurückkommt, aber dies erfordert, dass er versteht, was passiert ist.

Gibt es eine (schnelle) Möglichkeit, Active Directory-Kennwörter zu speichern und dann wiederherzustellen?
1 - Wir speichern das Passwort
2 - Wir ändern das Passwort in TECHPASS123
3 - Wir arbeiten am Computer und testen, ob mit dem Benutzerkonto alles in Ordnung ist.
4 - Wir stellen das ursprüngliche Passwort wieder her

windows active-directory password Gregory MOUSSAT
quelle
Nein, gibt es nicht. (Technisch gibt es das, was in diesem Artikel erklärt wird: blog.teusink.net/2009/08/passwords-stored-using-reversible.html ).
Joeqwerty
4
Beachten Sie, dass er nicht darum bittet, das ursprüngliche Passwort abzurufen, sondern es nur speichern / wiederherstellen möchte. Angenommen, der AD speichert gesalzene + gehashte Passwörter. Es würde ausreichen, diesen Hash abzurufen, vorübergehend ein anderes Kennwort zu verwenden und dann den Hash wiederherzustellen. Ich weiß jedoch nicht, ob dies möglich ist.
Jeff
1
könnten runas / savedcred einige der ursprünglichen probleme lösen?
Rackandboneman
runas / savecred lösen das Problem nicht, da wir häufig die Umgebung des realen Benutzers benötigen. Zum Beispiel konfigurieren wir Druckeigenschaften für eine komplexe Software. Wir müssen also den Drucker unter diesem Konto konfigurieren und die Software starten, die seine zugeordneten Laufwerke benötigt, die Microsoft Office usw. usw. verwenden
Gregory MOUSSAT
für Ihren Kommentar oben. Das Gruppenrichtlinienobjekt kann Laufwerke zuordnen und Drucker einrichten. Sie können so ziemlich jeden Einrichtungsprozess replizieren, den Sie mit dem Gruppenrichtlinienobjekt ausführen würden. Sie müssen es nur lernen.
Zapto

Antworten:

3

Für einen lokalen Computer können Sie dies einfach tun, indem Sie die c:\windows\system32\config\samDatei auf einen temporären kopieren . Wenn Sie fertig sind, kopieren Sie einfach zurück.
Sie können dies jedoch nicht tun, während Windows ausgeführt wird. Sie müssen also eine Linux-CD verwenden oder von einer Windows-CD booten und eine Befehlszeile öffnen.

Im ersten Teil können Sie dies online mit einem Runas-Systemkonto oder mit einer Schattenkopie tun. Das ist also ein einfacher Schritt.
Der letzte Teil muss offline erfolgen. Wenn jemand online findet, wie es geht, bin ich froh zu wissen, wie.

Beachten Sie, dass ein Problem auftreten kann, wenn Sie nach einer Wiederverwendung des Kennworts suchen.

Das Problem ist: Dies funktioniert nicht mit Active Directory, da Sie Ihren Server nicht mitten am Tag neu starten möchten. Und wenn Sie mehrere Domänencontroller haben, funktioniert dies überhaupt nicht.

Einige Software-Programme können dies im laufenden Betrieb tun. Ich habe einen verwendet, bei dem ich den Namen vergessen habe (der Name enthält "Migration"), und er ist für diese Verwendung übertrieben. Ich weiß nicht, ob es noch existiert und ob es für 7 oder 2008 funktioniert. Vielleicht gibt es eine leichtere Software, aber ich kenne keine.

Bertrand SCHITS
quelle
9

Dies ist aus mehreren Gründen eine schlechte Idee:

Es umgeht den Prüfpfad
Wenn Sie das Kennwort eines Benutzers ändern, um sich als dieser auszugeben, und es dann wieder ändern. Es gibt eine Spur, die du gemacht hast. Das gibt Ihnen Leugnung und schützt Sie, wenn etwas mit dem Konto dieses Benutzers passiert. Es wäre wirklich eine schlechte Politik, diesen Weg umgehen zu lassen.

Stellen Sie sich vor, ein Mitarbeiter wird wegen Kinderpornografie entlassen. Wenn Sie die Richtlinie haben, diesen Hash nach Belieben ein- und auszutauschen, gibt es kaum eine Möglichkeit zu beweisen, dass der Mitarbeiter derjenige war, der dies getan hat, und nicht Sie. Wenn Sie das Kennwort zurücksetzen, gibt es einen eindeutigen Protokolleintrag, der die Zeiten isoliert, zu denen Sie als dieser Benutzer angemeldet waren.

Dies ist äußerst schwierig.
Obwohl dies theoretisch möglich ist, müssen Sie eine ganze Reihe von Änderungen vornehmen, die Ihr Active Directory in einem nicht unterstützten Zustand belassen würden. Dies ist offensichtlich keine gute Sache. Sie können die Kennwörter auch in Reversible Encryption speichern, dies ist jedoch eine wirklich schlechte Idee.

Es reduziert die Kommunikation zwischen Ihnen und den Benutzern.
Ein Teil der guten Unterstützung von Benutzern besteht in der Kommunikation mit ihnen. Wenn Sie das Kennwort festlegen und dann zurücksetzen müssen, wenn ein Identitätswechsel unbedingt erforderlich ist, müssen Sie sich mit diesem Benutzer in Verbindung setzen und erklären, was passiert ist und warum. Es gibt mehr Vertrauen, als sich nur an einem Morgen anzumelden und zu sehen, dass die Dinge anders sind.

MDMarra
quelle
1
+1 Audit Trail ist ein Muss.
Zapto
@ t1nt1n, damit das magische Passwort-Umschalt-Tool viele Protokolle schreibt.
Zoredache
@Zoredache Hält der handgeschriebene Logger dieses magischen Passwortumschalters in einem Fall einer fehlerhaften Kündigung stand? :)
MDMarra
handgeschrieben? Warum sollte es handgeschrieben sein müssen? Warum würden sie das Protokoll nicht an die Standard-Windows-Sicherheitsprotokolle senden?
Zoredache
Ich hätte "handcodiert" sagen sollen. Entschuldigung für die Verwirrung.
MDMarra