Я все еще пытаюсь разобраться с учетными записями Windows в ДОМЕНЕ, но у меня есть несколько вопросов по безопасности.
По моему опыту, в машине локальные пользователи и пользователи домена полностью разделены.
Например, локальный администратор не может вносить изменения в учетную запись пользователя домена; для этого вам потребуются права администратора домена.
Учитывая, что все данные хранятся локально на машине, это похоже на ограничение Windows.
Есть ли способ обойти это? Поскольку к машине есть доступ как с аппаратного, так и локального администратора, как кто-то может восстановить пароль администратора ДОМЕНА или разрешить локальному администратору вносить изменения в пользователя ДОМЕНА?
С уважением
правка: запуск этой команды, кажется, помогает, но почему?
net localgroup Администраторы /add ДОМЕН\ПОЛЬЗОВАТЕЛЬ
решение1
Учитывая, что все данные хранятся локально на машине, это похоже на ограничение Windows.
Нет, информация об учетной записи домена простокэшированныйна машине. Даже если вы найдете способ внести какие-либо изменения в кэш, они не распространятся с вашей машины на остальную часть домена – и уж точно не на сами контроллеры домена. Так что все, что вы получите, этоместныйдоступ администратора, ничего более.
Обратите внимание, что даже просто локальный вход в учетную запись пользователянедостаточночтобы быть распознанным как этот пользователь другими серверами/машинами домена. Учетная записьреквизиты для входа(пароль) также должны совпадать с теми, которые известны контроллеру домена.
Есть ли способ обойти это? Поскольку к машине есть доступ как с аппаратного, так и локального администратора, как кто-то может восстановить пароль администратора ДОМЕНА
Возможно злоупотребление функцией «офлайн-входа» (кэшированные учетные данные домена). Когда пользователи домена входят в систему, иххэш паролякэшируется вместе с обычной информацией, так что тот же пользователь все равно сможет войти в систему, даже если сетевой доступ недоступен. IIRC, офлайн-хэши хранятся в течение двух недель и могут быть извлечены и взломаны.
Если вам действительно нужно войти в системулокальнок учетной записи домена, хэши можно временно заменить чем-то известным. См. эту ветку:https://security.stackexchange.com/questions/182986/replacing-cached-domain-credentials-in-security-hive. Однако, как уже упоминалось, после этого вывсе ещебыть ограничен доступом к локальной машине.
решение2
может ли кто-нибудь восстановить пароль администратора ДОМЕНА?
Ответ: Нет, если только вы не используете незаконные методы взлома.
Пароль не хранится на локальном компьютере в виде обычного текста, а в виде хеша, поэтому вам нужно будет ввести строку, которая имеет точно такое же значение хеша. Используемая хеш-функция направлена на минимизацию таких возможных коллизий, так что даже не пытайтесь.
Пароль проверяется на сервере, а не локально, поэтому вы не сможете локально запустить продукт для подбора пароля, если только вы не пройдете через сервер домена.
разрешить локальному администратору вносить изменения в пользователя ДОМЕНА
Если вы знаете пароль пользователя домена, вы можете использовать команда runas для запуска программы под учетными данными пользователя домена. Затем вы можете использовать синтаксис:
runas /netonly /user:domain\username command
Команда net localgroup administratorsбудет работать для добавления пользователя домена в локальную группу администраторов, хотя вам все равно понадобится пароль для входа. Эту команду следует запускать только тогда, когда компьютер подключен к сети.
Обратите внимание, что вы можете сделать то же самое с помощью Управления компьютером: щелкните Группы, щелкните правой кнопкой мыши Администраторы, щелкните Add to Group, щелкните Addи в диалоговом окне Выбор пользователей введитеДомен\Пользователь.