Local Administrator Password Solution

Всем привет!

Обои поклеил и пиво льется рекой, а это значит, что Уханов снова вещает.

А поговорим мы сегодня о пароле локального администратора.


Новички иногда попадают в такую ситуацию: выводит компьютер из домена, и для подтверждения вводит пароль доменного администратора. После перезагрузки выясняется, что пароль локального администратора он не помнит. Ситуация неприятная, но не тупиковая, если по рукой есть флешка или CD.

Что нужно было сделать, что-бы не выстрелить себе в ногу? Вывести компьютер из домена, используя пароль локальной учетной записи с правами администратора. Таким образом можно быть уверенным, что помнишь пароль.


Установка пароля через групповые политики.

Чаще администраторы прибегают к установке на компьютеры домена одинакового пароля средствами групповых политик.

Почему это плохо?

Пароль администратора хранится в зашифрованном виде в xml файле  каталога групповых политик. Файл доступен для чтения всем авторизованным пользователям домена.

Считаете, если он зашифрован, то вы в безопасности? Как бы не так: Microsoft опубликовала 32-битный AES ключ шифрования пароля.

Майкрософт категорически не рекомендует так менять пароли, а в новых версиях Windows Server настоятельно говорит так не делать. Такие дела, малята: получить пароль админа проще простого.

Бюллетень MS14-025 запрещает установку пароля таким образом. Поле пароля неактивно.

Local Administrator Password Solution Windows, Системное администрирование, Пароль, Microsoft, Длиннопост

А ещё может случиться необходимость предоставить пользователю административные привилегии. На моей практике такое было пару раз -  я потерял связь с компьютером и ничего не мог сделать: Быстрой помощи в Windows 10 ещё не было, а TeamViewer или AmmyAdmin  блокировались политикой ограниченного использования программ. На часах ночь, а принтер у человека не работал.

И я со спокойной душой назвал ему пароль локального админа: утром пароль поменялся автоматически. Но я восстановил доступ к компьютеру и наладил принтер.


Local Administrator Password Solution - это официальный инструмент для установки и периодической смены пароля администратора.

Он бесплатен в использовании и прост в настройке.

Что он умеет?

- с заданной периодичностью компьютер сам меняет пароль указанной учетной записи.

- Пароль хранится в AD

- У каждого компьютера свой пароль

- параметры пароля и учетной записи настраиваются

При помощи утилиты LAPS UI можно узнать текущий пароль - надо лишь указать имя компьютера

Local Administrator Password Solution Windows, Системное администрирование, Пароль, Microsoft, Длиннопост

Скачать чудо утилиту с подробнейшим мануалом можно по ссылке выше.


Хорошая статься на WINITPRO тут.



Коллеги, всем хороших выходных и прекрасного настроения.

Поделюсь фото пенного на фоне рабочей машины с дисками, которые так любит вынимать мой сын. Благо, Storage Spaces спокойно переносит кражу одного и даже двух дисков массива.


А как вы решили проблему паролей?

Local Administrator Password Solution Windows, Системное администрирование, Пароль, Microsoft, Длиннопост

Лига Сисадминов

1.5K поста17.5K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочей деятельностью специалистов нашей сферы деятельности.
Вы смотрите срез комментариев. Показать все
DELETED
Автор поста оценил этот комментарий

Из оригинальных способов сменить пароль локального админа:


Подключить диск к другому компу, переименовать Utilman.exe в Utilman.exe_, а cmd,exe -  в Utilman.exe. Или аналогично в реестре, но так мо-поему проще... После этого при загрузке при попытке вызова центра специальных возможностей откроется командная строка от SYSTEM, ну а там уже net user и понеслась.


Как я решаю эту проблему со сменой пароля.


Я загоняю батник смены пароля в exeшник, правда не помню уже какой утилитой. Пароль в открытом виде светиться перестает, по крайней мере. Экзешник лежит в сисволе, запускается через стартап-скрипт. Раз в полгода меняю его... Не то чтобы сильная защита, но если не знаешь, и не поймешь как и что - выглядит этот экзешник как инсталлятор какой-то утилиты.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Можно не Utilman.exe, а sethc.exe - тогда командная строка будет вызываться по пяти нажатиям <Shift> (или долгому нажатию). Причём можно так и оставить - эта функция мало кому нужна. И само собой - делать так на компах заранее, в качестве защиты от таких дурацких ситуаций с забытым паролем, а также - от блокировщиков-вымогателей.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку