Просмотр паролей в AD?

Question

[Михаил Полянский]

Вводится обменник, с авторизацией под доменной учёткой, менять пароли всем желания никакого.
Каким образом можно узнать пароли? Естественно админка есть.

Answer 1

[Максим Ярошевич]

А зачем их узнавать? Должна быть авторизация по AD, там пароли смотреть не надо - или просто руками делаете такие же учетки с теми же паролями - тогда это неправильно.

Comments

[Михаил Полянский]

юзеры не помнят их, а если менять пароли, то надо будет ещё на RDP вводить, боюсь не осилят такой подвиг

[Ярослав Иванов]

Михаил Полянский, а как они в систему логинятся?)

[Максим Гришин]

Михаил Полянский, дык, тогда меняете. И вообще, что это за пользователь, который не помнит свой пароль? Может, он засланный?

[Максим Ярошевич]

Михаил Полянский, Зачем на RDP пароли вводить? Оно умеет само забирать текущую учетную запись из AD - у меня так сделано для RemoteApps - никаких паролей не спрашивает - надо RDP файлы подписать правильным сертификатом сервера и сделать пару настроек в политиках - сейчас быстро не вспомню, но можно быстро найти поиском.

[Максим Ярошевич]

Собственно, ответ - подробно и с картинками, от хорошего сайта.

Answer 2

[nfire]

Емнип их никак не узнаешь, только сменить. Ну или сторонним софтом, да и то не факт.

Answer 3

[Sergey Ryzhkin]

По факту узнать никак. На будущее при создании пользователя заносите его пароль в экзель файлик и храните у себя. Когда надо - открыли и глянули.

Answer 4

[Сергей]

Восстанавливаем локальные и доменные пароли из hiberfil.sys

Comments

[res2001]

Сергей Этот вариант сработает только для паролей пользователей, которые были реально залогинены (т.е. их пароли вводились с клавиатуры и сохранены в памяти процесса lsass) до перехода в режим гибернации, имхо.
А тут несколько иная задача - пользователи не залогинены и паролей не знают.
Как-то играл с mimikatz - потрясающая вещь :-) Не знаю, работает ли она до сих пор или может мелкософт что-нибудь предпринял.

Answer 5

[res2001]

Не нужно знать пользовательские пароли - это порочная практика.
Сбрасывайте пароль пользователя в некоторое значение по умолчанию (типа 1234) и проставляйте принудительную смену пароля при следующем входе.

Answer 6

[Вадим Чопоров]

В AD пользовательские пароли НЕ хранятся, от слова совсем. Их знает только юзер. В AD лежат хеши паролей, на основе проверки которых происходит аутентификация пользователя. Чем хорош хеш - это результат обработки входных данных НЕОБРАТИМОЙ функцией, с гарантиеей получения уникального значения - хеша. В случае AD с уровнем леса от Win 2008R2 используется шифрование AES256 - можно пробовать расшифровать с помощью радужных таблиц. Но во первых это не совсем тривиально, а во вторых - к сожалению, если у Вас включена политика сложности паролей, и юзерам приходится юзать не совсем тривиальные пароли типа 777 - по времени такой перебор займет прилично времени (скажем на марс мы раньше экспедицию отправим)) ).