Необходимо войти или зарегистрироваться

Авторизация

Введите логин, email или номер телефона, начинающийся с символа «+»
Забыли пароль? Регистрация

Новый пароль

Авторизация

Восстановление пароля

Авторизация

Регистрация

Выберите, пожалуйста, ник на пикабу
Номер будет виден только вам.
Отправка смс бесплатна
У меня уже есть аккаунт с ником Отменить привязку?

Регистрация

Номер будет виден только вам.
Отправка смс бесплатна
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Авторизация

Пост

Пост

Local Administrator Password Solution

mfc166 в Лига Сисадминов

Всем привет!

Обои поклеил и пиво льется рекой, а это значит, что Уханов снова вещает.

А поговорим мы сегодня о пароле локального администратора.


Новички иногда попадают в такую ситуацию: выводит компьютер из домена, и для подтверждения вводит пароль доменного администратора. После перезагрузки выясняется, что пароль локального администратора он не помнит. Ситуация неприятная, но не тупиковая, если по рукой есть флешка или CD.

Что нужно было сделать, что-бы не выстрелить себе в ногу? Вывести компьютер из домена, используя пароль локальной учетной записи с правами администратора. Таким образом можно быть уверенным, что помнишь пароль.


Установка пароля через групповые политики.

Чаще администраторы прибегают к установке на компьютеры домена одинакового пароля средствами групповых политик.

Почему это плохо?

Пароль администратора хранится в зашифрованном виде в xml файле  каталога групповых политик. Файл доступен для чтения всем авторизованным пользователям домена.

Считаете, если он зашифрован, то вы в безопасности? Как бы не так: Microsoft опубликовала 32-битный AES ключ шифрования пароля.

Майкрософт категорически не рекомендует так менять пароли, а в новых версиях Windows Server настоятельно говорит так не делать. Такие дела, малята: получить пароль админа проще простого.

Бюллетень MS14-025 запрещает установку пароля таким образом. Поле пароля неактивно.

Local Administrator Password Solution Windows, Системное администрирование, Пароли надо менять, Microsoft, Длиннопост

А ещё может случиться необходимость предоставить пользователю административные привилегии. На моей практике такое было пару раз -  я потерял связь с компьютером и ничего не мог сделать: Быстрой помощи в Windows 10 ещё не было, а TeamViewer или AmmyAdmin  блокировались политикой ограниченного использования программ. На часах ночь, а принтер у человека не работал.

И я со спокойной душой назвал ему пароль локального админа: утром пароль поменялся автоматически. Но я восстановил доступ к компьютеру и наладил принтер.


Local Administrator Password Solution - это официальный инструмент для установки и периодической смены пароля администратора.

Он бесплатен в использовании и прост в настройке.

Что он умеет?

- с заданной периодичностью компьютер сам меняет пароль указанной учетной записи.

- Пароль хранится в AD

- У каждого компьютера свой пароль

- параметры пароля и учетной записи настраиваются

При помощи утилиты LAPS UI можно узнать текущий пароль - надо лишь указать имя компьютера

Local Administrator Password Solution Windows, Системное администрирование, Пароли надо менять, Microsoft, Длиннопост

Скачать чудо утилиту с подробнейшим мануалом можно по ссылке выше.


Хорошая статься на WINITPRO тут.



Коллеги, всем хороших выходных и прекрасного настроения.

Поделюсь фото пенного на фоне рабочей машины с дисками, которые так любит вынимать мой сын. Благо, Storage Spaces спокойно переносит кражу одного и даже двух дисков массива.


А как вы решили проблему паролей?

Local Administrator Password Solution Windows, Системное администрирование, Пароли надо менять, Microsoft, Длиннопост
Аватар сообщества "Лига Сисадминов"
384 поста 7 961 подписчик
63 комментария
wtss
+6

Ты зачем так ссылки делаешь, непонятно же куда ведет.

+6
ещё комментарии
cakypacah
+2

буквально сегодня столкнулся с такой ситуацией. вывел ПК из домена вывел а там пользователь (с правами администратора) себе успел пароль притулить. грузимся с установочного usb/dvd / на первом экране, говорим восстановить windows - запускаем командную строку, в ней regedit, в открывшемся окне в разделе HKLM, подключаем куст реестра SAM с диска С машины, идем в подключенном кусте в Domains\Account\Users\000001F4 выбираем ключ F, и в строке 038 меняем значение 11 на 10. выгружаем куст, перезагружаемся - входим под встроенной учеткой администратора. уже не раз такой способ выручал. и не только с доменными ПК

+2
раскрыть ветку 2
Аватар пользователя pfsenses pfsenses
+1

Многий софт для сброса паролей ровно это и делает. Только автоматизированно.

+1
раскрыть ветку 1
Azazel9999
+1
Именно,софта куча, и странно что у сопровождения/ админа нет хоть какой-то загрузочной флэхи которой все делается за полминуты
+1
Skylevels
+1

Ты сделал мой день! Спасибо!

+1
Аватар пользователя asdfgcxgvg asdfgcxgvg
+1

При выводе компа из домена я всегда создаю нового локального пользователя с правами админа

+1
Mtea
+1
Несколько раз попадал в такую ситуацию с выводом рабочей машины из домена. Пароль обходил потом загрузочным диском со специальным софтом. Заходишь в систему и там меняешь пароль. Работает на Винде до 7. Но более новых не пробовал.
+1
раскрыть ветку 11
Аватар пользователя alpha1 alpha1
+1
Работает и на 10
+1
раскрыть ветку 8
alexanderapoc
-1

Какой софт есть для 10? На рутрекере ломанный ERD только для win8 максимум. На 10 пользуюсь способом с изменением иконки специальных возможностей через командную строку с загрузочного диска, описывали выше.

-1
раскрыть ветку 7
Аватар пользователя oplkill oplkill
0

можно было просто загрузится под линуксом(live-cd) зайти в папку винды и поменять местами 2 файла(переименованием) cmd и файл экранной клавиатуры. Потом в винде на экране входа в пользователя включить экранную клавиатуру и вуаля, запускается cmd с правами локального админа(sic!)

0
Аватар пользователя pfsenses pfsenses
0

Kon-Boot в данном случае - рулит.

0
DrQuake
+1

Есть же winternals установка/смена/сброс пароля через RPC удалённая утилита.

+1
rango13
0

Обычно, если нужно производить какие-либо манипуляции с компом, имея к нему доступ через удаленный рабочий стол, продумываю сразу, что произойдет, если доступ по доменной учетке потеряю. Поэтому первым делом перед любыми манипуляциями проверяю, чтобы был выключен файервол, имелась локальная учётка с правами админа и еще один доступ удаленно к компу, типа тимвьювера.

0
Аватар пользователя 6yxope3 6yxope3
0
Извиняюсь, что не в тему, нужна помощь, поиском ничего не нашел поэтому пишу тут. Вобщем нахожусь в Крыму, сервисы Гугла определяют местоположение и отказываются нормально работать, например синхронизация Гугл фото не работает пока не включу vpn. Надоело тыкать этот vpn, в связи с этим вопрос, что , как и где прописать в роутере, чтобы местоположение определялось материковое , или ссылку дайте где почитать, заранее спасибо!
0
раскрыть ветку 2
Boldorat
+1
Найти впн сервер(или поднять на вдс), заворачивать нужный маркированный (или весь) траффик в впн. Я так из Украины ВК сижу, подсети ВК заворачиваются в впн, остальное как обычно
+1
Lyubomir
0
Поднять постоянный VPN на роутере?
0
sinn3r
0

Из оригинальных способов сменить пароль локального админа:


Подключить диск к другому компу, переименовать Utilman.exe в Utilman.exe_, а cmd,exe -  в Utilman.exe. Или аналогично в реестре, но так мо-поему проще... После этого при загрузке при попытке вызова центра специальных возможностей откроется командная строка от SYSTEM, ну а там уже net user и понеслась.


Как я решаю эту проблему со сменой пароля.


Я загоняю батник смены пароля в exeшник, правда не помню уже какой утилитой. Пароль в открытом виде светиться перестает, по крайней мере. Экзешник лежит в сисволе, запускается через стартап-скрипт. Раз в полгода меняю его... Не то чтобы сильная защита, но если не знаешь, и не поймешь как и что - выглядит этот экзешник как инсталлятор какой-то утилиты.

0
Аватар пользователя Lastaid Lastaid
0
Стоит удалить учётку машины из AD и оапс не скажет пароля.
0
раскрыть ветку 15
daver
0

Для этого есть небольшой скрипт на PowerShell, пароль у LAPS хранится в атрибутах AD, а при включённой "корзине" ничего вам не мешает обратиться через скрипт к удалённым объектам. Проверено - работает.

0
раскрыть ветку 1
Аватар пользователя Lastaid Lastaid
0

Сами писали такой скрипт?

0
Аватар пользователя mfc166 mfc166
-2

Но такой компьютер более не управляем

-2
раскрыть ветку 12
Аватар пользователя Lastaid Lastaid
0

Ну так в этом и косяк.

и как его решить я хз.

0
раскрыть ветку 11
Аватар пользователя alphazulu alphazulu
-1

@moderator, а маскировка ссылок через левый сайт это норма ?

-1
раскрыть ветку 3
Аватар пользователя mfc166 mfc166
-2

Что тут такого? Это сокращатель  ссылок, причём мой собственный.

-2
раскрыть ветку 2
DobroMax1
0

Извините, но это плохая практика.


За статью спасибо.

0
Аватар пользователя alphazulu alphazulu
0

Вот пусть модератор и разберется

0
Аватар пользователя VragiVezde VragiVezde
-8

А зачем это, если есть CMD и PowerShell?

-8
раскрыть ветку 9
Аватар пользователя mfc166 mfc166
+1

Я же написал: расскажите о том, как решаете задачу.

Скрипт в студию!

+1
раскрыть ветку 8
Аватар пользователя pfsenses pfsenses
0

Чтобы не требовалось менять пароли локального админа, можно просто добавить определенные доменные учётки в локальные админы.

Вот, например, мануал краткий:

https://www.ibm.com/support/knowledgecenter/ru/SSNE44_5.2.0/...

0
раскрыть ветку 1
Аватар пользователя VragiVezde VragiVezde
-7

Вы же знаете, что есть гуй под повершел, нет?

-7
Аватар пользователя VragiVezde VragiVezde
-8

Что проблема написать скрипт в повершел?

-8
раскрыть ветку 4
ещё комментарии
Аватар пользователя VragiVezde VragiVezde
-18

Вы только учитесь, да?

-18
раскрыть ветку 5
Аватар пользователя mfc166 mfc166
+2

Нет, давно в отрасли.

+2
ещё комментарии
ещё комментарии
Похожие посты
Возможно, вас заинтересуют другие посты по тегам: