私はまだドメインの Windows アカウントの使い方を習得しようとしているところですが、セキュリティに関する質問がいくつかあります。
私の経験からすると、マシン内ではローカル ユーザーとドメイン ユーザーは完全に分離されているようです。
たとえば、ローカル管理者はドメイン ユーザーのアカウントを変更できません。そのためにはドメイン管理者権限が必要です。
すべてがローカルマシンにデータとして保存されることを考えると、これは Windows の制限のように思えます。
これを回避する方法はありますか? マシンにはハードウェアとローカル管理者の両方のアクセスがあるため、どうすれば DOMAIN 管理者のパスワードを回復したり、ローカル管理者が DOMAIN ユーザーに変更を加えたりできるのでしょうか?
敬具
編集: このコマンドを実行するとそれが実行されるようですが、なぜでしょうか?
net localgroup Administrators /add DOMAIN\USER
答え1
すべてがローカルマシンにデータとして保存されることを考えると、これは Windows の制限のように思えます。
いいえ、ドメインアカウント情報は単にキャッシュされたマシン上でキャッシュを変更する方法を見つけたとしても、その変更はマシンからドメインの残りの部分には伝わりません。ドメインコントローラ自体にはもちろん伝わりません。つまり、地元管理者アクセスのみ。それ以上ではありません。
ローカルのユーザーアカウントにログインするだけでは足りない他のドメインサーバー/マシンからそのユーザーとして認識される必要があります。アカウントの資格(パスワード) もドメイン コントローラが認識しているものと一致する必要があります。
これを回避する方法はありますか?マシンにはハードウェアとローカル管理者の両方のアクセスがあるため、ドメイン管理者のパスワードを回復するにはどうすればよいでしょうか?
「オフラインログイン」(キャッシュされたドメイン認証情報)機能を悪用する可能性があります。ドメインユーザーがログインすると、パスワードハッシュ通常の情報とともにキャッシュされるため、ネットワーク アクセスが利用できない場合でも同じユーザーがログインできます。私の記憶が正しければ、オフライン ハッシュは 2 週間保存され、抽出して解読することができます。
本当にログインする必要がある場合地元でドメイン アカウントの場合、ハッシュは一時的に既知のものに置き換えられます。このスレッドを参照してください:https://security.stackexchange.com/questions/182986/replacing-cached-domain-credentials-in-security-hiveしかし、すでに述べたように、そうした後はまだローカルマシンへのアクセスに制限されます。
答え2
誰かが DOMAIN 管理者パスワードを回復できますか?
回答: いいえ、違法なハッキング方法を使用しない限りは可能です。
パスワードはローカル コンピュータにプレーン テキストとしてではなくハッシュとして保存されるため、まったく同じハッシュ値を持つ文字列を入力する必要があります。使用されるハッシュ関数は、このような衝突の可能性を最小限に抑えることを目的としているため、試さないでください。
パスワードはローカルではなくサーバー上でテストされるため、ドメイン サーバーを通過しない限り、パスワードをブルート フォース攻撃する製品をローカルで実行することはできません。
ローカル管理者がドメインユーザーに変更を加えることを許可する
ドメインユーザーのパスワードがわかっている場合は、 runas コマンド ドメイン ユーザーの資格情報でプログラムを実行するには、次の構文を使用できます。
runas /netonly /user:domain\username command
このnet localgroup administratorsコマンドはドメイン ユーザーをローカルの Administrators グループに追加するために機能しますが、ログインするにはパスワードが必要です。このコマンドは、コンピューターがネットワークに接続されている場合にのみ実行する必要があります。
コンピュータの管理を使用して同じ操作を行うこともできます。グループをクリックし、Administratorsを右クリックし、をクリックしAdd to Group、をクリックしてAdd、ユーザーの選択ダイアログボックスで、次のように入力します。ドメイン\ユーザー。