web-dev-qa-db-ja.com

Active Directoryのパスワードを確認する方法はありますか?

結論にジャンプする前に、説明しましょう。機能していないパスワードリセットツールがあります。何らかの理由で使用すると、パスワードが不明な値にリセットされます(変更後のものや以前のものではありません)。適切なOUにテスト用の「ユーザー」を設定しましたが、リセットツールがパスワードをどのように変更しているかを確認できます。そうすれば、私はおそらく何が起こっているのか理解できるでしょう。どんな助けでも大歓迎です。

4
balentaw

ADのパスワードは(Windowsのものと同様に)元に戻せない暗号化を使用して保存されるため、標準的な答えは明確な "[〜#〜] no [〜#〜]"です。

そこにisa GPO AD(または任意のWindowsシステム)に、可逆暗号化を使用してパスワードを保存するように指示する設定ですが、それらを復号化するための組み込みツールはありません(ただし、その方法については、いくつかのドキュメントが浮かんでいます)もちろん、これは見た目とまったく同じように安全ではありません。

9
Massimo

設定内容のプレーンテキストを確認する必要があり、リセットツールでその情報を出力できない場合は、2つのオプションがあります。リバーシブル暗号化を有効にするか、パスワードフィルターを使用するかです。

リバーシブル暗号化を使用すると、元のパスワードを取得できますが、それは pleasantprocess ではありません。

password filter を使用すると、パスワードへのすべての変更をテキストにダンプできますが、テストを行わないユーザーの場合、これはセキュリティ上、明らかに良いことではありません。

ただし、ハッシュが正しく設定されているかどうかを確認するだけでよい場合は、ハッシュデータベースをダンプして比較できます。

5
Shane Madden

いいえ。パスワード属性は「書き込み専用」です。この属性の読み取りを提供するために公開されたメカニズムはありません。

詳しくは:
ユーザーパスワード属性
http://msdn.Microsoft.com/en-us/library/ms680851%28v=vs.85%29.aspx

0
Greg Askew