有没有办法我可以审核AD以检查特定密码?
我们过去常常为所有新用户使用“标准”密码(例如MyPa55word).我想确保在我们的庄园任何地方都不再使用它.
我能想到如何做到这一点的唯一方法是:a)以某种方式为具有此密码的用户审核目录,或b)设置专门禁止使用此密码的GP(理想情况下,这会提示用户重置其密码. )
任何人都有关于如何处理这个问题的任何提示?
钽,
本
这里有几个想法 – 它们都不是非常好(从他们可能引发反病毒或入侵检测警报的角度来看):
原文链接:https://www.f2er.com/windows/369381.html>您可以从Active Directory中转储密码哈希值并在其上运行密码破解程序. Cain and Abel可以帮你解决问题.你可以用fgdump来获取哈希值.请注意 – 这些实用程序都可能会在您的防病毒软件中引发警钟.
>您可以编写一个简单的脚本来迭代用户列表的输出,使用“NET USE”命令检查有效密码.使用这样的东西:
@echo off rem Destination path to "map" a "drive" to for password test set DESTPATH=\\SERVER\Share rem Drive letter used to "map" a "drive" to for password test SET DRIVE_LETTER=Q: rem NetBIOS domain name to test against set DOMAIN=DOMAIN rem File containing list of usernames,one per line SET USERLIST=userlist.txt rem Password to test SET PASSWORD=MyPa55word rem Output file SET OUTPUT=output.txt if exist "%DRIVE_LETTER%\." goto _letter_used for /f %%i in (%USERLIST%) do ( net use %DRIVE_LETTER% %DESTPATH% /USER:%DOMAIN%\%%i %PASSWORD% if exist "%DRIVE_LETTER%\." echo %%i password is %PASSWORD%>>%OUTPUT% net use %DRIVE_LETTER% /d /y ) goto end :_letter_used echo %DRIVE_LETTER% is already in use. Change it to a free drive letter and re-run. :end
将用户列表放入“userlist.txt”(每行一个用户名),在脚本顶部设置变量以引用用户应该能够“映射”“驱动器”的路径,并确保您正在运行它的PC没有任何其他“驱动器”“映射”到目标服务器(因为Windows PC只允许一组凭据一次用于SMB客户端连接到给定服务器).
就像我说的那样 – 任何一种方法都可能不是一个好主意. >微笑<