Форум администраторов Windows
Клиентские системы Microsoft => Windows 7 => : Cap_solo 04 Апрель 2017, 22:46:09
-
Добрый день !
Админы домена внедрили LAPS. И с ним изменился пароль локального админа. Если правильно понял - теперь пароль локального админа не храниться на локальной машине ? Раньше было возможно видеть в sysvol скрипт.
Если теперь не отключаясь от сети загрузить локальную машину с liveDVD и использовать какой то софт для сброса или замены пароля локального админа или выполнить сброс локальных групповых политик, или заменить пароль используя метод http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/ - что при этом увидит администратор домена ? Что увидит админ домена если просто удалить с машины в домене клиента LAPS ?
-
Пароль локального пользователя как всегда хранится на машине в виде хэша, но расшифровать его затруднительно + он хранится в AD в читаемом виде, но прочитать его администраторы домена и учетки, которым были даны такие права (см. статью о настройке LAPS в домене (http://winitpro.ru/index.php/2015/05/07/ms-local-administrator-password-solution-upravlenie-parolyami-lokalnyx-administratorov-v-domene/)).
При локальной смене / сбросе пароля на контроллерах домена ничего не отобразится. Но, через какое то время (по-умолчанию, каждые 30 дней) пароль будет автоматически сменен.
Если снести клиент LAPS , на DC тоже не будет информации. Но, тут все зависит от способа установки клиента: если через групповые политики - он через какое-то время все равно установится.
+ админы могут при желании изучить журналы с вашего ПК и выявить кто удалил клиента.
-
А если сбросить пароль локального админа и установить на локальную машину LAPS? ту часть, утилиту которая показывает пароль ? ЕЙ для работы нужны будут права админа домена ? На локальной машине из хеша ничего не увидеть ?
-
А если сбросить пароль локального админа и установить на локальную машину LAPS? ту часть, утилиту которая показывает пароль ? ЕЙ для работы нужны будут права админа домена ? На локальной машине из хеша ничего не увидеть ?
Локально пароль с помощью нее вы не получите. Пароль в открытом виде хранится в защищенном атрибуте AD, для его просмотра нужны права домен админа или делегации.