Windows ADパスワードを保存/復元するにはどうすればよいですか?
ユーザーがいないときに、ソフトウェアを微調整、テスト、または修復しなければならないことがよくあります。
たとえば、今日、私たちの1人がユーザーのコンピューターに新しいメールアカウントを設定しましたが、ユーザーは休暇中です。これには、ユーザーになりすます必要があります。
ユーザーがここにいないときにコンピューターで作業することは、私たちと彼らにとって非常に素晴らしいことです。ただし、これには多くの場合、Windowsアカウントのパスワードを尋ねるか、使用する前にパスワードを変更する必要があります。ユーザーは戻ってきたときにパスワードを元に戻す必要がありますが、これには何が起こったのかを理解する必要があります。
Active Directoryのパスワードを保存してから復元する(高速な)方法はありますか?
1-パスワードを保存します
2-パスワードをTECHPASS123に変更します
3-私たちはコンピューターで作業し、ユーザーのアカウントですべてが問題ないかどうかをテストします
4-元のパスワードを復元します
ローカルコンピューターの場合は、c:\windows\system32\config\samファイルを一時ファイルにコピーするだけで実行できます。終了したら、コピーして戻します。
しかし、Windowsの実行中はそれを行うことはできません。したがって、Linux CDを使用するか、Windowscdから起動してコマンドラインを開く必要があります。
最初の部分では、runasシステムアカウントまたはシャドウコピーを使用してオンラインで実行できます。したがって、これは簡単なステップです。
最後の部分はオフラインで行う必要があります。誰かがそれをオンラインで行う方法を見つけたら、私はその方法を喜んで知っています。
パスワードの再利用を確認すると、問題が発生する可能性があることに注意してください。
問題は、1日の途中でサーバーを再起動したくないため、ActiveDirectoryでは機能しないことです。また、複数のドメインコントローラーがある場合、これはまったく機能しません。
一部のソフトウェアはその場でそれを行うことができます。名前を忘れたもの(名前に「移行」が含まれている)を使用しましたが、この使用にはやり過ぎです。それがもう存在するかどうか、そしてそれが7または2008で機能するかどうかはわかりません。もっと軽いソフトウェアが存在するかもしれませんが、私はそれを知りません。
これはいくつかの理由で悪い考えです:
監査証跡を回避します
ユーザーのパスワードを変更してユーザーになりすましてから、元に戻す場合。あなたがそれをした道があります。それはあなたに否認を与え、そのユーザーのアカウントで何かが起こった場合にあなたを保護します。この道を回避することを許可することは本当に悪い方針でしょう。
従業員が児童ポルノを持っているために解雇されたと想像してみてください。このハッシュを自由に交換するポリシーがある場合、従業員があなたではなくそれを行った人物であることを証明する方法はほとんどありません。パスワードをリセットする場合は、そのユーザーとしてログインした時間を分離する明確なログエントリがあります。
それは非常に難しいです
理論的には可能ですが、ActiveDirectoryがサポートされていない状態のままになるようなものをすべて変更する必要があります。これは明らかに良いことではありません。または、パスワードをリバーシブル暗号化に保存することもできますが、そうすることは非常に悪い考えです。
それはあなたとユーザーの間のコミュニケーションを減らします
ユーザーのサポートに長けていることの一部は、ユーザーとのコミュニケーションです。なりすましが絶対に必要な場合は、パスワードを設定してからリセットする必要があるため、そのユーザーと連絡を取り、何が起こったのか、そしてその理由を説明する必要があります。ある朝にログインして物事が違うのを見るよりも、信頼感があります。