Возможно ли централизованно принудительное кэширование доменных паролей Windows на машинах пользователей?

Question

Alex Bond @Greisvandir

сисадмин

Возможно ли централизованно принудительное кэширование доменных паролей Windows на машинах пользователей?

Суть: многие пользователи на время пандемии забирают рабочие компьютеры домой.
При возникновении проблемы с vpn и соответственно потере связи с DC, на данной машине можно что-либо сделать только имея кэшированный админский пароль (с локальным админом не всё возможно).

Так вот вопрос в том, можно ли сделать кэш всех или некоторых админских паролей на локальных машинах централизованно, средствами AD, PS или другими.

Альтернативное решение тоже будет к месту.

Заранее благодарен за ответы. Надеюсь не очень потревожил бога БАЯНА.

Вопрос задан более двух лет назад
399 просмотров

6 комментариев

Подписаться 3 Средний 6 комментариев

Роман Безруков @NortheR73

на данной машине можно что-либо сделать только имея кэшированный админский пароль
Как Вы собираетесь подключаться к удаленной машине у пользователя дома или решили сообщать пользователю админский пароль?

Написано более двух лет назад
hint000 @hint000

Роман Безруков, пока не запретили оборот таких тяжелых веществ, как TeamViewer, AnyDesk, AmmyyAdmin,..

Написано более двух лет назад
Роман Безруков @NortheR73

hint000, ну это неспортивно...

Написано более двух лет назад
Prog @damprog

(с локальным админом не всё возможно).

а можно узнать что конкретно?

Написано более двух лет назад
Талян @flapflapjack

Prog, Даже командную строку от имени Администратора не запустить локальным админом, если связи с КД нету.
И вывести из домена комп нельзя, если залогинишься локальным админом. Вывод из домена - администратором домена только. У нас - так. И вряд ли это политика, ибо я такую не видел у нас в моделировании GPO.

Написано более двух лет назад
Prog @damprog

Талян, всё выводится локальным админом из домена без подключения домена...
и PS админский запускается.

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Windows

+1 ещё

Простой
Почему из-за cfgmgr32 exe стал больше на 32 мб?
- 1 подписчик
- 3 часа назад
- 14 просмотров
0

ответов
Windows

+1 ещё

Простой
Почему в некоторых программах я вижу интерфейс из Windows 7, когда у меня установлена Windows 10?
- 1 подписчик
- 5 часов назад
- 90 просмотров
1

ответ
Windows

+3 ещё

Простой
При открывании csv файла в формате .txt появляются символы ("" и ;) как можно открыть csv файл без символов; и «»?
- 1 подписчик
- 5 часов назад
- 31 просмотр
0

ответов
HTML

+3 ещё

Простой
Возникла поломка файлов для установки пакетов в редакторе Atom, есть ли решение данной проблемы?
- 1 подписчик
- 10 часов назад
- 44 просмотра
1

ответ
Windows

+1 ещё

Сложный
"Boot Device Not Found" on HP laptop, как исправить?
- 1 подписчик
- 11 часов назад
- 81 просмотр
2

ответа
Android

+2 ещё

Простой
Есть ли какая нибудь платформа для управления андроид?
- 1 подписчик
- 11 часов назад
- 40 просмотров
1

ответ
Windows

+2 ещё

Простой
Windows 10 видит Bluetooth наушники как два устройства «наушники» и «головной телефон», почему?
- 1 подписчик
- 14 часов назад
- 63 просмотра
2

ответа
Windows

+1 ещё

Простой
Возможно ли сделать цифровую подпись для Windows приложения в 2024 году?
- 2 подписчика
- 15 часов назад
- 134 просмотра
1

ответ
Windows

+2 ещё

Простой
Возможно ли на винде написать программу дешифровки?
- 2 подписчика
- вчера
- 232 просмотра
5

ответов
Windows

Простой
Удаление Antimalware Service Executable!! вин 11?
- 1 подписчик
- вчера
- 65 просмотров
1

ответ
Показать ещё Загружается…

Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)

MYRTEX

от 40 000 ₽

Системный администратор

Метта • Уфа

от 50 000 до 60 000 ₽

Специалист технической поддержки (чат)

WebSoft

от 50 000 до 50 000 ₽

Устранить утечку памяти в скрипте на питоне

28 апр. 2024, в 02:30

3000 руб./за проект

Дописать/Написать скрипт для экспорта из Telegram

28 апр. 2024, в 00:54

10000 руб./за проект

Разработать дизайн сайта

28 апр. 2024, в 00:53

70000 руб./за проект

на данной машине можно что-либо сделать только имея кэшированный админский пароль
Как Вы собираетесь подключаться к удаленной машине у пользователя дома или решили сообщать пользователю админский пароль?
Роман Безруков, пока не запретили оборот таких тяжелых веществ, как TeamViewer, AnyDesk, AmmyyAdmin,..
(с локальным админом не всё возможно).

а можно узнать что конкретно?
Prog, Даже командную строку от имени Администратора не запустить локальным админом, если связи с КД нету.
И вывести из домена комп нельзя, если залогинишься локальным админом. Вывод из домена - администратором домена только. У нас - так. И вряд ли это политика, ибо я такую не видел у нас в моделировании GPO.
Талян, всё выводится локальным админом из домена без подключения домена...
и PS админский запускается.

Answer 1 · 2022-02-11 18:11:37

попробуй с машины, где уже есть закешированный вход, скопировать ключ реестра HKLM/SECURITY/Cache/NL$xxxx

ну и почти первая же ссылка в гугле на dump domain cached credential

Answer 2 · 2022-02-17 13:45:40

За кэширование паролей отвечает политика "Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)", значение, несмотря на описание, это количество последних пользователей домена, которые входили на эту машину. Т.к. на конкретную машину входят, обычно, 1-2 пользователя и админ(в другом случае, несколько админов), то значение 3-5 гарантированно добавит в кэш доменных админов(если они вообще когда-либо заходили на данную машину). Т.е., чтоб подключится к конторскому компу у пользователя дома - задайте политику(по умолчанию, вроде, 5), скажем, 10, зайдите под своей учёткой и отдайте комп.
Или я чего-то не понял?

Возможно ли централизованно принудительное кэширование доменных паролей Windows на машинах пользователей?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт