Como salvar / restaurar uma senha do Windows AD?

7

Geralmente, precisamos ajustar, testar ou reparar alguns softwares quando os usuários não estão lá.
Por exemplo, hoje, um de nós configura uma nova conta de e-mail no computador de um usuário, mas o usuário está de férias. Isso, então, exige que nos personifiquemos o usuário.

Trabalhar em um computador quando os usuários não estão aqui é muito bom para nós e eles. Mas isso geralmente exige que perguntemos a senha da conta do Windows, ou a alteramos antes de usá-la, e o usuário precisa alterá-la quando voltar, mas isso exige que ele entenda o que aconteceu.

Existe uma maneira (rápida) de salvar e restaurar as senhas do Active Directory?
1 - nós salvamos a senha
2 - nós mudamos a senha para TECHPASS123
3 - trabalhamos no computador e testamos se está tudo bem com a conta do usuário
4 - restauramos a senha original

    
por Gregory MOUSSAT 07.05.2012 / 19:21

2 respostas

3

Para um computador local, você pode simplesmente copiá-lo copiando o arquivo c:\windows\system32\config\sam para um arquivo temporário. Depois de terminar, basta copiar de volta.
Mas você não pode fazer isso enquanto o Windows está em execução. Então você tem que usar um CD do Linux ou para inicializar a partir de um cd do Windows e abrir uma linha de comando.

Para a primeira parte, você pode fazer isso on-line com a conta do sistema runas ou com a cópia de sombra. Então este é um passo fácil.
A última parte deve ser feita offline. Se alguém descobrir como fazer isso on-line, ficarei feliz em saber como.

Observe que você pode ter um problema se verificar a reutilização de senha.

O problema é: isso não funciona com o diretório ativo porque você não quer reinicializar seu servidor no meio do dia. E se você tiver vários controladores de domínio, isso não funcionará.

Alguns softwares podem fazer isso em tempo real. Eu usei uma que eu esqueci o nome (tem "migração" em seu nome) e é um exagero para esse uso. Não sei se existe mais e se funciona para 7 ou 2008. Talvez exista um software mais leve, mas eu não conheço nenhum.

    
por 08.05.2012 / 00:59
8

Esta é uma má ideia por alguns motivos:

Ele contorna a trilha de auditoria
Quando você altera a senha de um usuário para representá-lo e, em seguida, altera-o novamente. Há uma trilha que você fez. Isso lhe dá negação e protege você se algo acontecer com a conta desse usuário. Seria uma péssima política permitir que essa trilha fosse contornada.

Imagine que um funcionário é demitido por ter pornografia infantil. Se você tem uma política de trocar esse hash para dentro e para fora, não há como provar que o funcionário foi o que fez isso, e não você. Se você redefinir a senha, há uma entrada de log clara sobre ela, que isolará as horas em que você estava logado como esse usuário.

É extremamente difícil de fazer
Embora, teoricamente, seja possível, você precisa modificar um monte de coisas que deixariam o Active Directory em um estado sem suporte. Isso obviamente não é uma boa coisa a fazer. Ou você pode armazenar as senhas em Criptografia reversível, mas isso é uma péssima ideia.

Reduz a comunicação entre você e os usuários
Parte de ser bom em apoiar usuários está se comunicando com eles. Ao ter que definir e redefinir a senha quando a representação for absolutamente necessária, você será forçado a entrar em contato com esse usuário e explicar o que aconteceu e por quê. Dá mais uma sensação de confiança do que apenas acessar uma manhã e ver que as coisas são diferentes.

    
por 07.05.2012 / 20:28