当用户不在时,我们经常需要调整,testing或修复一些软件。
例如,今天我们中的一个人在用户的电脑上build立了一个新的邮件帐户,但用户正在度假。 这就要求我们冒充用户。
当用户不在这里时,在电脑上工作对我们和他们来说都是非常好的。 但是这通常要求我们向他们提供他们的Windows帐户密码,或者在我们使用之前对其进行更改,然后用户在他回来时必须将其更改,但这需要他了解发生了什么事情。
有一个(快速)保存方法,然后恢复Active Directory密码?
1 – 我们保存密码
2 – 我们将密码更改为TECHPASS123
3 – 我们在电脑上工作,我们testing用户的帐户是否一切正常
4 – 我们恢复原来的密码
对于本地计算机,只需将c:\windows\system32\config\sam文件复制到临时计算机即可。 一旦你完成,只需复制回来。
但是在Windows运行时你不能这么做。 所以你必须使用Linux CD或者从Windows CD启动并打开一个命令行。
对于第一部分,您可以使用runas系统帐户或影子副本在线进行。 所以这是一个简单的步骤。
最后一部分必须离线完成。 如果有人发现如何在网上做,我会很高兴知道如何。
请注意,如果您检查密码重用,则可能会遇到问题。
问题是:这不适用于活动目录,因为你不想在一天中间重新启动服务器。 如果你有几个域控制器,这根本不起作用。
一些软件可以在飞行中完成。 我用了一个,我忘了这个名字(它的名字中有“迁移”),这个用法太过分了。 我不知道它是否存在,如果它适用于7或2008年。也许有一个更轻的软件存在,但我不知道一个。
这是一个坏主意,原因如下:
它规避了审计线索
当您更改用户的密码以模拟它们,然后将其更改回来。 有一个线索,你做到了。 如果用户的帐户发生任何事情,那么这将给予您拒绝并保护您。 允许这条线索被规避是非常糟糕的政策。
想象一下,一名雇员因为有儿童色情而被解雇。 如果你有一个随意更换这个散列的策略,那就很难certificate这个员工是你所做的而不是你。 如果您要重置密码,则会有明确的日志条目,这将隔离您以该用户身份login的时间。
这是非常困难的
虽然在理论上可以做到,但是你必须修改一大堆东西,让Active Directory处于不受支持的状态。 这显然不是一件好事。 或者您可以将密码存储在可逆encryption中,但这样做是一个非常糟糕的主意。
它减less了你和用户之间的沟通
善于支持用户的部分是与他们沟通。 通过必须设置密码,然后在完全需要模拟时重置密码,您不得不与该用户取得联系并解释发生了什么以及为什么。 它给予了更多的信任感,而不仅仅是在一天早晨login,看到事情是不同的。