Нам часто приходится настраивать, тестировать или ремонтировать какое-то программное обеспечение, когда пользователей нет.
Например, сегодня один из нас создал новую учетную запись электронной почты на компьютере пользователя, но пользователь находится в отпуске. Затем требуется, чтобы мы выдавали себя за пользователя.
Работать на компьютере, когда пользователей нет здесь, очень приятно для нас и для них. Но для этого часто требуется, чтобы мы спросили их пароль учетной записи Windows или изменили его перед тем, как использовать, а затем пользователь должен снова изменить его, когда он вернется, но для этого ему необходимо понять, что произошло.
Есть ли (быстрый) способ сохранить и восстановить пароли Active Directory?
1 - сохраняем пароль
2 - меняем пароль на TECHPASS123
3 - работаем на компьютере, и проверяем, все ли в порядке с аккаунтом пользователя
4 - восстанавливаем оригинальный пароль
Это плохая идея по нескольким причинам:
Обходит контрольный журнал
Когда вы меняете пароль пользователя, чтобы выдать себя за него, а затем снова меняете его. Есть след, что вы это сделали. Это дает вам право отрицать и защищает вас, если что-то случится с учетной записью этого пользователя. Было бы действительно плохой политикой позволять обходить этот след.
Представьте себе, что работник уволен за то, что детскую порнографию. Если у вас есть политика смены хеша по желанию, практически невозможно доказать, что это сделал сотрудник, а не вы. Если вам нужно было сбросить пароль, в журнале будет четкая запись, в которой будет указано, сколько раз вы входили в систему как этот пользователь.
Это очень сложно сделать
Хотя это теоретически возможно, вам нужно изменить целый ряд вещей, которые оставят вашу Active Directory в неподдерживаемом состоянии. Очевидно, это не лучший вариант. Или вы можете хранить пароли в Reversible Encryption, но это действительно плохая идея.
Это уменьшает общение между вами и пользователями
Отчасти умение поддерживать пользователей - это общение с ними. При необходимости установить, а затем сбросить их пароль, когда олицетворение абсолютно необходимо, вы вынуждены связаться с этим пользователем и объяснить, что произошло и почему. Это дает больше чувства доверия, чем просто зайти однажды утром и увидеть, что все по-другому.
Для локального компьютера вы можете просто сделать это, скопировав c:\windows\system32\config\sam файл во временный. Как только вы закончите, просто скопируйте.
Но вы не можете этого сделать, пока работает Windows. Таким образом, вам нужно использовать компакт-диск Linux или загрузиться с компакт-диска Windows и открыть командную строку.
Для первой части вы можете сделать это онлайн с системной учетной записью runas или с теневой копией. Так что это простой шаг.
Последнюю часть нужно делать офлайн. Если кто-нибудь найдет, как это сделать в Интернете, я буду рад узнать как.
Обратите внимание, что при проверке повторного использования пароля могут возникнуть проблемы.
Проблема в том, что это не работает с активным каталогом, потому что вы не хотите перезагружать сервер в середине дня. А если у вас несколько контроллеров домена, это вообще не работает.
Некоторые программы могут делать это на лету. Я использовал тот, имя которого забыл (в названии есть «миграция»), и это излишне для такого использования. Я не знаю, существует ли оно сейчас и работает ли оно для 7 или 2008 года. Возможно, существует более легкое программное обеспечение, но я его не знаю.