Faça backup e restaure a senha do Active Directory por usuário

Como o MarkM já explicou por que não devemos substituir e restaurar senhas de usuário, tentarei abordar como o sistema nos impede de fazer essas alterações.

No Unix, os hashes de senha eram originalmente armazenados em /etc/passwd e podiam ser lidos por qualquer pessoa. Percebendo que isso permitia que qualquer usuário potencialmente roubasse senhas, os sistemas unix mais recentes armazenam os hashes de senha em /etc/shadow , o que só é legível por root .

O Windows seguiu um caminho semelhante. Em um ambiente de domínio, os hashes de senha dos usuários de domínio são armazenados na seção de registro SAM em cada controlador de domínio. Você provavelmente já está familiarizado com colmeias como HKLM e HKCU.

A partir do Windows 2000, o hive SAM é criptografado com uma chave de criptografia de senha de 128 bits, que é criptografada usando o SYSKEY . Deve ficar evidente que, como o sistema operacional deve ler o conteúdo da seção para autenticar os usuários no logon, a chave de criptografia deve ser salva no computador em algum lugar. Para uma cobertura mais aprofundada das técnicas de obscurecimento usadas, confira o SysKey e o SAM .

O Windows tenta impedir que usuários administrativos leiam / gravem os hashes diretamente e, normalmente, apenas lsass.exe executando como o usuário SYSTEM é capaz de ler os hashes.

No entanto, tenho certeza de que você encontrou ferramentas que ignoram essas proteções. Por exemplo, fgdump é capaz de exportar hashes de senha de um sistema ativo injetando código em lsass.exe , embora isso possa potencialmente travar todo o sistema. E há uma grande variedade de ferramentas inicializáveis que podem substituir hashes de senha quando o Windows não está em execução.

Embora seja teoricamente possível substituir as senhas de usuário, primeiro é necessário contornar uma ampla variedade de proteções incorporadas ao sistema operacional Windows. Qualquer um desses métodos tem o potencial de desestabilizar seu sistema e nunca deve ser usado em um ambiente de produção.

Não, você não pode.

Pensamento positivo: se você trabalha para uma empresa de tamanho moderado, é provável que haja uma política em vigor que não permita que pessoas na área de TI (ou em outras áreas) personifiquem outros usuários sem o consentimento explícito deles. Se sua empresa não tiver uma política como essa, você deve considerar isso com veemência.

Nunca vi isso com apenas a senha, embora você possa fazer backup / restaurar o objeto do AD.

Outra maneira é fazer com que eles redefinam a senha com a ferramenta de administração AD Users and Computers. Ele permitirá que você ignore as restrições de segurança da reutilização de senhas.

Isso não é possível. As senhas são armazenadas usando criptografia irreversível. No entanto, você pode alterar esse comportamento marcando a caixa ao lado de "Armazenar senha usando criptografia reversível" na guia Conta, na caixa de diálogo Propriedades do objeto de usuário desejado. Quaisquer alterações futuras de senha serão armazenadas usando criptografia reversível.

Quanto à exportação dessas informações do banco de dados do AD, não acho que isso seja possível.

Se a sua pergunta é legítima, você deve apenas perguntar a senha do usuário, depois fazer com que ele seja redefinido assim que você terminar de "diagnosticar". Dessa forma, você está sendo transparente e o usuário está bem ciente do que está acontecendo em segundo plano.

O armário que você pode usar para isso é redefinir a senha por meio do ADUC para seu uso e reinicializá-la para que o usuário possa colocar sua própria senha. No entanto, não estou certo de que restrições de repetição de senha entrem em ação aqui.

Como alternativa, por que não usar uma ferramenta como AMMYY para interagir com a sessão do usuário? Ou se for um problema com o próprio computador, faça-os sair e o RDP como administrador.