Форум администраторов Windows

Клиентские системы Microsoft => Windows 7 => Тема начата: Cap_solo от 04 Апрель 2017, 22:46:09

Название: LAPS и пароль локального админа
Отправлено: Cap_solo от 04 Апрель 2017, 22:46:09
Добрый день !
Админы домена внедрили LAPS. И с ним изменился пароль локального админа. Если правильно понял - теперь пароль локального админа не храниться на локальной машине ? Раньше было возможно видеть в sysvol скрипт.
Если теперь не отключаясь от сети загрузить локальную машину с liveDVD и использовать какой то софт для сброса или замены пароля локального админа или выполнить сброс локальных групповых политик, или заменить пароль используя метод  http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/ - что при этом увидит администратор домена ? Что увидит админ домена если просто удалить с машины в домене клиента LAPS ?
Название: Re: LAPS и пароль локального админа
Отправлено: itpro от 05 Апрель 2017, 07:23:07
Пароль локального пользователя как всегда хранится на машине в виде хэша, но расшифровать его затруднительно + он хранится в AD в читаемом виде, но прочитать его администраторы домена и учетки, которым были даны такие права (см. статью о настройке LAPS в домене (http://winitpro.ru/index.php/2015/05/07/ms-local-administrator-password-solution-upravlenie-parolyami-lokalnyx-administratorov-v-domene/)).
При локальной смене / сбросе  пароля на контроллерах домена ничего не отобразится. Но, через какое то время  (по-умолчанию, каждые 30 дней) пароль будет автоматически сменен.
Если снести клиент LAPS , на DC тоже не будет информации. Но, тут все зависит от способа установки клиента: если через групповые политики - он через какое-то время все равно установится.
+ админы могут при желании изучить журналы с вашего ПК и выявить кто удалил клиента.
Название: Re: LAPS и пароль локального админа
Отправлено: Cap_solo от 05 Апрель 2017, 17:32:01
А если сбросить пароль локального админа и установить на локальную машину LAPS? ту часть, утилиту которая показывает пароль ? ЕЙ для работы нужны будут права админа домена ? На локальной машине из хеша ничего не увидеть ?
Название: Re: LAPS и пароль локального админа
Отправлено: itpro от 07 Апрель 2017, 09:09:42
А если сбросить пароль локального админа и установить на локальную машину LAPS? ту часть, утилиту которая показывает пароль ? ЕЙ для работы нужны будут права админа домена ? На локальной машине из хеша ничего не увидеть ?
Локально пароль с помощью нее вы не получите. Пароль  в открытом виде хранится в защищенном атрибуте AD, для его просмотра нужны права домен админа или делегации.