Изменение пароля пользователя Windows Active Directory и LDS с помощью LDAP
В этой статье описывается, как изменить пароль пользователя Windows Active Directory и LDS с помощью LDAP.
Применимо к: Windows Active Directory
Оригинальный номер базы знаний: 269190
Сводка
С учетом определенных ограничений можно задать пароль Windows Active Directory и служб упрощенных каталогов (LDS) с помощью протокола LDAP. В этой статье описывается, как задать или изменить атрибут password.
Эти действия также применяются к пользователям режима приложения Active Directory (ADAM) и LDS и объектам userProxy так же, как и для пользователей AD. Дополнительные сведения см. в конце статьи.
Дополнительная информация
Пароль хранится в базе данных AD и LDS на объекте user в атрибуте unicodePwd . Этот атрибут может быть записан при ограниченных условиях, но не может быть прочитан. Атрибут можно только изменить; Его нельзя добавить при создании объекта или запросе с помощью поиска.
Чтобы изменить этот атрибут, клиент должен иметь 128-разрядное подключение tls/SSL к серверу. Зашифрованный сеанс с использованием ключей сеанса, созданных SSP с помощью Диспетчера локальной сети Windows New Technology LAN Manager (NTLM) или Kerberos, также допустим при условии, что достигнута минимальная длина ключа.
Чтобы это подключение было возможно с помощью TLS/SSL:
- Сервер должен иметь сертификат сервера для 128-разрядного подключения RSA.
- Клиент должен доверять центру сертификации (ЦС), который создал сертификат сервера.
- Как клиент, так и сервер должны поддерживать 128-разрядное шифрование.
Синтаксис атрибута UnicodePwd — octet-string; Однако служба каталогов ожидает, что строка octet будет содержать строку ЮНИКОДа (как указывает имя атрибута). Это означает, что все значения для этого атрибута, передаваемые в LDAP, должны быть строками ЮНИКОДа, которые в кодировке BER (основные правила кодирования) должны быть в виде строки октета. Кроме того, строка ЮНИКОДа должна начинаться и заканчиваться кавычками, которые не являются частью нужного пароля.
Существует два возможных способа изменения атрибута UnicodePwd . Первая операция похожа на обычную операцию смены пароля пользователем. В этом случае запрос на изменение должен содержать операцию удаления и добавления. Операция удаления должна содержать текущий пароль с кавычками вокруг него. Операция добавления должна содержать нужный новый пароль с кавычками вокруг него.
Второй способ изменения этого атрибута аналогиен сбросу пароля для пользователя администратором. Для этого клиент должен привязаться как пользователь с достаточными разрешениями для изменения пароля другого пользователя. Этот запрос на изменение должен содержать одну операцию замены с новым нужным паролем, окруженным кавычками. Если у клиента достаточно разрешений, этот пароль становится новым, независимо от того, какой пароль был старый.
Следующие две функции предоставляют примеры этих операций:
ULONG ChangeUserPassword(WCHAR* pszUserDN, WCHAR* pszOldPassword,WCHAR* pszNewPassword) < ULONG err = 1; LDAPMod modNewPassword; LDAPMod modOldPassword; LDAPMod *modEntry[3]; BERVAL newPwdBerVal; BERVAL oldPwdBerVal; BERVAL *newPwd_attr[2]; BERVAL *oldPwd_attr[2]; WCHAR pszNewPasswordWithQuotes[1024]; WCHAR pszOldPasswordWithQuotes[1024]; // Build an array of LDAPMod. // For setting unicodePwd, this MUST be a double op. modEntry[0] = &modOldPassword; modEntry[1] = &modNewPassword; modEntry[2] = NULL; // Build mod struct for unicodePwd Add. modNewPassword.mod_op = LDAP_MOD_ADD | LDAP_MOD_BVALUES; modNewPassword.mod_type =L"unicodePwd"; modNewPassword.mod_vals.modv_bvals = newPwd_attr; // Build mod struct for unicodePwd Delete. modOldPassword.mod_op = LDAP_MOD_DELETE | LDAP_MOD_BVALUES; modOldPassword.mod_type =L"unicodePwd"; modOldPassword.mod_vals.modv_bvals = oldPwd_attr; // Password will be single valued, so we only have one element. newPwd_attr[0] = &newPwdBerVal; newPwd_attr[1]= NULL; oldPwd_attr[0] = &oldPwdBerVal; oldPwd_attr[1]= NULL; // Surround the passwords in quotes. wsprintf(pszNewPasswordWithQuotes,L"\"%s\"",pszNewPassword); wsprintf(pszOldPasswordWithQuotes,L"\"%s\"",pszOldPassword); // Build the BER structures with the UNICODE passwords w/quotes. newPwdBerVal.bv_len = wcslen(pszNewPasswordWithQuotes) * sizeof(WCHAR); newPwdBerVal.bv_val = (char*)pszNewPasswordWithQuotes; oldPwdBerVal.bv_len = wcslen(pszOldPasswordWithQuotes) * sizeof(WCHAR); oldPwdBerVal.bv_val = (char*)pszOldPasswordWithQuotes; // Perform single modify. err = ldap_modify_s(ldapConnection, pszUserDN, modEntry ); if (err == LDAP_SUCCESS ) wprintf(L"\nPassword successfully changed!\n"); else wprintf(L"\nPassword change failed!\n"); return err; >ULONG SetUserPassword(WCHAR* pszUserDN, WCHAR* pszPassword) < ULONG err = 1; LDAPMod modPassword; LDAPMod *modEntry[2]; BERVAL pwdBerVal; BERVAL *pwd_attr[2]; WCHAR pszPasswordWithQuotes[1024]; // Build an array of LDAPMod. // For setting unicodePwd, this MUST be a single op. modEntry[0] = &modPassword; modEntry[1] = NULL; // Build mod struct for unicodePwd. modPassword.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES; modPassword.mod_type =L"unicodePwd"; modPassword.mod_vals.modv_bvals = pwd_attr; // Password will be single valued, so we only have one element. pwd_attr[0] = &pwdBerVal; pwd_attr[1]= NULL; // Surround the password in quotes. wsprintf(pszPasswordWithQuotes,L"\"%s\"",pszPassword); // Build the BER structure with the UNICODE password. pwdBerVal.bv_len = wcslen(pszPasswordWithQuotes) * sizeof(WCHAR); pwdBerVal.bv_val = (char*)pszPasswordWithQuotes; // Perform single modify. err = ldap_modify_s(ldapConnection, pszUserDN, modEntry ); if (err == LDAP_SUCCESS ) wprintf(L"\nPassword succesfully set!\n"); else wprintf(L"\nPassword set failed!\n"); return err; >- Чтобы настроить экземпляры LDS с помощью объектов UserProxy для сброса пароля, необходимо разрешить ограниченное делегирование учетной записи службы LDS (по умолчанию— учетная запись компьютера LDS) контроллерам домена, если вход пользователя использует Kerberos.
- Если вы используете простую привязку LDAP, необходимо использовать Windows Server 2022 или более новую версию и задать запись реестра, чтобы перенаправить учетные данные сеанса LDAP администратора на контроллер домен Active Directory:
Раздел реестра: HKLM\system\currentcontrolset\services\Parameters
Запись реестра: разрешить тип входа ClearText
Тип: REG_DWORD
Данные: 0: запретить пересылку учетных данных (по умолчанию)
1. Разрешить переадресацию учетных данных для сброса пароля - Обратите внимание, что изменение в обоих случаях означает, что сервер LDS следует рассматривать как устройство уровня 0, так как он может запускать задачи, чувствительные к безопасности, на контроллере домена.
Сфера применения
- Windows Server 2012 Datacenter
- Windows Server 2012 Standard
- Windows Server 2012 R2 Datacenter
- Windows Server 2012 R2 Standard
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 8.1 Корпоративная
- Windows 8.1 Профессиональная
- Windows 10
- Windows 11
Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль
16.04.2021
itpro
Active Directory, PowerShell, Windows 10, Windows Server 2016
комментариев 58
В этой статье мы покажем, как с помощью PowerShell узнать, когда истекает пароль учетной записи пользователя в Active Directory, установить бессрочный пароль для учетной записи (PasswordNeverExpires = True) и заблаговременно оповестить пользователей о необходимости сменить пароль.
Если срок действия пароля пользователя в домене истек, учетная запись не блокируется, но не может использоваться для доступа к доменным ресурсам до тех пор, пока пользователь не сменит свой истекший пароль на новый. Чаще всего проблемы с истекшими паролями возникает у удаленных пользователей, которые не могут сменить свой пароль стандартными средствами.
Срок действия пароля пользователя в домене, частота его смены и требования к сложности и др. определяются настройками политикой паролей в AD. Это могут быть настройки Default Domain Policy или гранулированными политиками паролей (Fine-Grained Password Policy).
Текущие настройки политики срока действия паролей в домене можно получить с помощью команды PowerShell
В нашем примере максимальный срок действия пароля пользователя в домене – 60 дней.
Как узнать срок действия пароля пользователя в Active Directory?
Можно узнать срок действия пароля и дату его последней смены из командной строки с помощь команды Net user:
net user aaivanov /domain
Необходимые данные присутствуют в значениях:
-
Password last set — 1/21/2020 11:18:37 AM
Вы можете получить срок действия пароль для любого пользователя, не обязательно обладать правами администратора или делегированными полномочиями на контейнер с пользователями.
Для получения параметров учетных записей в AD мы будем использовать специальный модуль PowerShell для Active Directory, который позволяет получить значения различных атрибутов объектов AD (см. как установить и импортировать модуль AD PowerShell в Windows 10 и Windows Server 2012 R2/2016).
С помощью командлета Get-AdUser можно получить время последней смены пароля пользователя и проверить, установлена ли опция бессрочного пароля (PasswordNeverExpires):
get-aduser aaivanov -properties PasswordLastSet, PasswordNeverExpires, PasswordExpired |ft Name, PasswordLastSet, PasswordNeverExpires,PasswordExpired
- PasswordLastSet — время последней смены пароля пользователя;
- PasswordNeverExpires – возвращает значение True, если пароль пользователя никогда не устаревает;
- PasswordExpired – если пароль пользователя устарел — возвращает True, если пароль не устарел – False;
Можно проверить время последней смены пароля из графической оснастки Active Directory Users & Computers (dsa.msc). Для этого откройте свойства пользователя, перейдите на вкладку Редактор атрибутов, проверьте значение атрибута pwdLastSet.
Но как вы видите, в оснастке указана только время смены пароля. Когда истекает срок действия пароля — непонятно.
Чтобы получить не время последней смены пароля, а дату окончания его срока действия, нужно использовать специальный constructed-атрибут msDS-UserPasswordExpiryTimeComputed. Значение атрибута msDS-UserPasswordExpiryTimeComputed автоматически вычисляется на основании времени последней смены пароля и парольной политики домена
Параметр UserPasswordExpiryTimeComputed возвращает время в формате TimeStamp и для преобразования его в человеко-понятный вид я использую функцию FromFileTime:
Таким образом мы получили время истечения срока действия пароля пользователя.
Если значение msDS-UserPasswordExpiryTimeComputed равно 0, значит pwdLastSet пустой (null) или равен 0 (пароль пользователя никогда не менялся).
Чтобы получить срок действия паролей для всех пользователей их определенного контейнера (OU) AD, можно воспользоваться таким скриптом PowerShell:
$Users = Get-ADUser -SearchBase ‘OU=Users,OU=SPB,DC=corp,DC=winitpro,DC=ru’ -filter -Properties msDS-UserPasswordExpiryTimeComputed, PasswordLastSet, CannotChangePassword
$Users | select Name, @>, PasswordLastSet
В результате появилась табличка со списком активных пользователей, сроком действия и временем последней смены пароля.
Можно вывести только список пользователей, чей пароль уже истек:
$Users = Get-ADUser -SearchBase ‘OU=Users,OU=SPB,DC=corp,DC=winitpro,DC=ru’ -filter -Properties msDS-UserPasswordExpiryTimeComputed, PasswordLastSet, CannotChangePassword
foreach($user in $Users)if( [datetime]::FromFileTime($user.»msDS-UserPasswordExpiryTimeComputed») -lt (Get-Date)) $user.Name
>
>
Отключить срок действия пароля для учетной записи
Если вам нужно сделать срок действия пароля определенной учетной записи неограниченным, нужно включить опцию Password Never Expires в свойствах пользователя в AD (это одно из битовых значений атрибута UserAccountControl).
Либо вы можете включить эту опцию через PowerShell:
Get-ADUser aaivanov | Set-ADUser -PasswordNeverExpires:$True
Можно установить флаг Password Never Expires сразу для нескольких пользователей, список которых содержится в текстовом файле:
$users=Get-Content «C:\PS\users_never_expire.txt»
Foreach ($user in $users) Set-ADUser $user -PasswordNeverExpires:$True
>
Можно вывести список всех пользователей, для которых отключено требование регулярной смены пароля:
Get-ADUser -filter * -properties Name, PasswordNeverExpires | where | Select-Object DistinguishedName,Name,Enabled |ft
Политика оповещения об окончании срока действия пароля
В Windows есть отдельный параметр групповой политики, позволяющий оповещать пользователей о необходимости сменить пароль.
Политика называется Interactive logon: Prompt user to change password before expiration и находится в разделе GPO Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
По умолчанию эту политика включена на уровне локальных настроек Windows и уведомления начинают появляться за 5 дней до истечения срока действия пароля. Вы можете изменить количество дней, в течении которых должно появляться уведомление о смене пароля.
После включения этой политики, если пароль пользователя истекает, то при входе в систему в трее будет появляться уведомление о необходимости сменить пароль.
Consider changing your password Your password will expire in xx days.
Также вы можете использовать простой PowerShel скрипт, который автоматически вызывает диалоговое окно со предложением сменить пароль, если он истекает менее чем через 5 дней:
Add-Type -AssemblyName PresentationFramework
$curruser= Get-ADUser -Identity $env:username -Properties ‘msDS-UserPasswordExpiryTimeComputed’,’PasswordNeverExpires’
if ( -not $curruser.’PasswordNeverExpires’) $timediff=(new-timespan -start (get-date) -end ([datetime]::FromFileTime($curruser.»msDS-UserPasswordExpiryTimeComputed»))).Days
if ($timediff -lt 5) $msgBoxInput = [System.Windows.MessageBox]::Show(«Ваш пароль истекает через «+ $timediff + » дней!`nХотите сменить пароль сейчас?»,»Внимание!»,»YesNo»,»Warning»)
switch ($msgBoxInput) ‘Yes’ cmd /c «explorer shell. «
>
‘No’ < >
>
>
>
Если пользователь нажимает ДА, появляется диалоговое окно Windows Security, которое вы видите при нажатии Ctrl+Alt+Del или Ctrl+Alt+End (при RDP подключении).
Данный скрипт предполагает, что на компьютерах пользователей установлен модуль AD для PowerShell. Его можно использовать даже без установки RSAT . См. статью Использование модуля Active Directory PowerShell без установки RSAT.
Данный скрипт нужно поместить в автозагрузку или запускать как logon скрипт групповых политик.
PowerShell скрипт для email-уведомления об истечении срока действия пароля
Если вы хотите индивидуально рассылать пользователям письма о том, что срок действия их паролей скоро истечет, можно использовать такой PowerShell скрипт.
$Sender /cdn-cgi/l/email-protection» data-cfemail=»4b22252d240b3c2225223f3b392465393e»>[email protected]»
$Subject = ‘Внимание! Скоро истекает срок действия Вашего пароля!’
$BodyTxt1 = ‘Срок действия Вашего пароля для’
$BodyTxt2 = ‘заканчивается через ‘
$BodyTxt3 = ‘дней. Не забудьте заранее сменить Ваш пароль. Если у вас есть вопросы, обратитесь в службу HelpDesk.’
$smtpserver =»smtp.domain.com»
$warnDays = (get-date).adddays(7)
$2Day = get-date
$Users = Get-ADUser -SearchBase ‘OU=Users,DC=corp,DC=winitpro,DC=ru’ -filter -Properties msDS-UserPasswordExpiryTimeComputed, EmailAddress, Name | select Name, @>, EmailAddress
foreach ($user in $users) if (($user.ExpirationDate -lt $warnDays) -and ($2Day -lt $user.ExpirationDate) ) $lastdays = ( $user.ExpirationDate -$2Day).days
$EmailBody = $BodyTxt1, $user.name, $BodyTxt2, $lastdays, $BodyTxt3 -join ‘ ‘
Send-MailMessage -To $user.EmailAddress -From $Sender -SmtpServer $smtpserver -Subject $Subject -Body $EmailBody
>
>
Скрипт проверяет всех активных пользователей домена с истекающими паролями. За 7 дней до истечения пароля пользователю начинают отправляться письма на email адрес, указанный в AD. Письма отправляются до тех пор, пока пароль не будет изменен или просрочен.
Данный PowerShell скрипт нужно запускать регулярно на любом компьютере/сервере домена (проще всего через Task Scheduler). Естественно, нужно на вашем SMTP сервере добавить IP адрес хоста, с которого рассылаются письма, в разрешенные отправители без аутентификации.
Предыдущая статья Следующая статья 
Изменить (сбросить) пароль пользователя Active Directory из ADUC и PowerShell
09.02.2023
itpro
Active Directory, PowerShell
комментариев 30
В этой статье мы рассмотрим, как изменить (сбросить) пароль одного или нескольких пользователей Active Directory с помощью графической оснастки Active Directory Users and Computers, из командной строки, а также с помощью PowerShell командлета Set-ADAccountPassword.
Изменить пароль пользователя домена из графической консоли Active Directory
Для сброса пароля пользователя Active Directory можно использовать графическую оснастку dsa.msc (Active Directory Users & Computers — ADUC). Воспользуйтесь поиском в консоли ADUC и найдите учетную запись пользователя, которому нужно изменить пароль. Щелкните по нему правой кнопкой и выберите пункт “Смена пароля” (Reset password).
Укажите новый пароль (дважды). Здесь можно включить две опции:
- Usermustchangepasswordatnextlogon – если вы хотите, чтобы пользователь сам задал себе новый пароль при следующем входе;
- Unlockuser’saccount – включите эту опцию, если вы хотите разблокировать пользователя (если учетная запись заблокирована политикой безопасности AD из-за многократных попыток входа с неверным паролем).
Это самый просто и интуитивно понятный способ сброса пароля пользователя домена.
Также в свойствах пользователя на вкладке редактора атрибутов AD вы можете найти информацию о дате последней смены пароля. Это значение хранится в атрибуте пользователя pwdLastSet.
Для сброса пароля ваша учетной запись должна обладать соответствующими правами. По-умолчанию обычные пользователи AD не могут сбросить пароль других аккаунтов. Такие права есть только у учетных записей с правами администратора домена (Domain Admins), или Account Operators. Вы можете предоставить другим группам пользователям право на сброс паролей в определенных OU с помощью делегирования. По ссылке доступен пример делегирования прав на сброс паролей и разблокировку пользователей группе HelpDesk.
Чтобы проверить, что у вашей учетной записи есть право на сброс пароля определенного пользователя, откройте его свойства, перейдите на вкладку Security -> Advanced -> Effective Access -> укажите имя своей учетной записи -> убедитесь, что у вас есть разрешение Reset Password.
Как сбросить пароль пользователю Active Directory с помощью PowerShell?
Вы можете использовать команды PowerShell для сброса пароля пользователя в AD. Для этого можно использовать используется командлет Set-ADAccountPassword, входящий в модуль Active Directory для Windows PowerShell (в десктопых версиях Windows он входит в состав RSAT, а в серверных редакциях устанавливается в виде отдельного компонента AD DS Snap-Ins and Command-Line Tools). Перед использованием модуля его необходимо импортировать в сессию PowerShell:
Чтобы сбросить пароль для пользователя dakimov и установить новый пароль SuperStr0n@p1, выполните команду:
Set-ADAccountPassword dakimov -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “SuperStr0n@p1” -Force -Verbose) –PassThru
alert]Для автоматической генерации сложный паролей пользователям вы можете использовать метод GeneratePassword, описанный в статье Генерация случайных паролей с помощью PowerShell. [/alert]
По умолчанию командлет возвращает объект и ничего не отображает в консоли. Чтобы вывести информацию об объекте пользователя в AD мы используем параметр –PassThru.
В качестве имени пользователя можно указать sAMAccountName (как в нашем случае), objectGUID, SID пользователя, или его DN (Distinguished Name, например CN=Akimov,OU=Users,DC=winitpro,DC=ru).
Если при смене пароля пользователя не указывать параметр –Reset, необходимо указать старый и новый пароль учетной записи.
Примечание. Если при сбросе пароля с помощью командлета Set-ADAccountPassword появляется ошибка:
Set-ADAccountPassword : The password does not meet the length, complexity, or history requirement of the domain.
Это означает что, новый пароль не соответствует требования сложности, длины и т.д., заданным в доменной политике паролей или гранулированной политике паролей, действующей на учетную запись пользователя.
Результирующие настройки парольной политики пользователя в домене можно вывести так:
Get-ADUserResultantPasswordPolicy -Identity a.novak
Если у вас включено ведение истории PowerShell команд, и вы не хотите, чтобы пароли в открытом виде сохранялись в сессии PoSh, пароль как и при создании пользователя нужно преобразовать в безопасную строку (подробнее о защите паролей в скриптах PowerShell здесь):
$NewPasswd=Read-Host «Введите новый пароль пользователя» –AsSecureString
Теперь можно задать новый пароль пользователю:
Set-ADAccountPassword dakimov -Reset –NewPassword $NewPasswd –PassThru
При сбросе пароля можно принудительно снять блокировку ученой записи, если она была заблокирована ранее (как найти с какого компьютера блокируется учетная запись, смотрите в статье Поиск источника блокировки пользователя в Active Directory):
Unlock-ADAccount –Identity dakimov
Чтобы пользователь при следующем входе в домен самостоятельно сменил данный пароль на новый, нужно изменить его свойства в AD, выполнив команду:
Set-ADUser -Identity dakimov -ChangePasswordAtLogon $true
Вы можете совместить в одной строке команду смены пароля и включение требования сменить пароль (атрибут userAccountControl):
Set-ADAccountPassword dakimov -NewPassword $NewPasswd -Reset -PassThru | Set-ADuser -ChangePasswordAtLogon $True
С помощью командлета Get-ADUser вы можете убедиться, что пароль сброшен успешно. Выведите время последней смены пароля аккаунта:
Get-ADUser dakimov -Properties * | select name, pass*
При сбросе пароля на контроллере домена (DC) регистрируется событие EventID 4724. Это событие помогает определить учетную запись, которая выполнила сброс пароля пользователя.
Вы можете узнать, когда истекает срок действия пароля пользователя согласно текущим настройкам политики паролей с помощью PowerShell команды:
PowerShell скрипт для сброса пароля нескольких пользователей AD
Выше мы показали, как из PowerShell сбросить пароль одного пользователя в AD. Рассмотрим теперь другой сценарий – когда вам нужно сменить пароли сразу нескольких пользователей.
Например, вы хотите сбросить пароль всем сотрудникам департамента Sales на одинаковый и заставить сменить его при следующем входе. Вы можете использовать параметр –Filter для выбора пользователей с определенным значением в одном из атрибутов:
get-aduser -filter «department -eq ‘Sales Dept’ -AND enabled -eq ‘True'» | Set-ADAccountPassword -NewPassword $NewPasswd -Reset -PassThru | Set-ADuser -ChangePasswordAtLogon $True
Рассмотрим еще один пример. Допустим, у вас есть CSV/Excel файл, в котором содержится список пользователей, которым нужно сбросить пароли и уникальный пароль для каждого пользователя. Формат файла users.csv:
sAMAccountName;NewPassword aivanov;PaSSde0r1 bpetrov;New$isde01 ssidorov;k@nndj!223
С помощью следующего скрипта PowerShell можно сбросить пароль для каждой учетной записи пользователя из CSV файла:
Import-Csv users.csv -Delimiter «;» | Foreach $NewPass = ConvertTo-SecureString -AsPlainText $_.NewPassword -Force
Set-ADAccountPassword -Identity $_.sAMAccountName -NewPassword $NewPass -Reset -PassThru | Set-ADUser -ChangePasswordAtLogon $false
>
После выполнения данного кода всем пользователям в файле будет установлен новый уникальный пароль.
Изменить пароль пользователя в домене из командной строки
Если на компьютере не установлена консоль ADUC, или модуль RSAT-AD-PowerShell, вы можете использовать консольную команду net use для сброса пароля. Чтобы получить информацию о пользователе в домене, выполните команду:
net user a.novak /domain
В командной строке показана базовая информацию о пароле пользователя в домене:
Из значения Last Logon можно узнать, когда пользователь входит в домен последний раз. Чтобы получить более подробную информацию об истории входа пользователя в домен, смотри статью.
Чтобы сбросит пароль этого пользователя, выполните команду:
net user a.novak /domain *
Укажите новый пароль и подтвердите его:
Type a password for the user: xx Retype the password to confirm: xx The command completed successfully.
Предыдущая статья Следующая статья
Учетные записи Active Directory
Операционные системы Windows Server устанавливаются с локальными учетными записями по умолчанию. Кроме того, вы можете создавать учетные записи пользователей в соответствии с требованиями вашей организации.
В этой справочной статье описываются локальные учетные записи Windows Server по умолчанию, хранящиеся локально на контроллере домена и используемые в Active Directory. Он не описывает учетные записи локальных пользователей по умолчанию для члена, автономного сервера или клиента Windows. Дополнительные сведения см. в разделе «Локальные учетные записи».
Локальные учетные записи по умолчанию в Active Directory
Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера домена Windows Server и создании домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Они также имеют доступ на уровне домена и полностью отделены от учетных записей локальных пользователей по умолчанию для члена или автономного сервера.
Вы можете назначить права и разрешения локальным учетным записям по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере «Пользователи» в Пользователи и компьютеры Active Directory. Рекомендуется сохранить локальные учетные записи по умолчанию в контейнере пользователей, а не пытаться переместить эти учетные записи в другой подразделений.
Локальные учетные записи по умолчанию в контейнере Users включают: Администратор istrator, Guest и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. В следующих разделах описаны локальные учетные записи по умолчанию и их использование в Active Directory.
Локальные учетные записи по умолчанию выполняют следующие действия:
- Позвольте домену представлять, определять и проверять подлинность удостоверения пользователя, которому назначена учетная запись, с помощью уникальных учетных данных (имя пользователя и пароль). Рекомендуется назначить каждого пользователя одной учетной записи, чтобы обеспечить максимальную безопасность. Несколько пользователей не могут совместно использовать одну учетную запись. Учетная запись пользователя позволяет пользователю входить на компьютеры, сети и домены с уникальным идентификатором, который может проходить проверку подлинности компьютера, сети или домена.
- Авторизация (предоставление или запрет) доступа к ресурсам. После проверки подлинности учетных данных пользователя пользователь может получить доступ к сети и ресурсам домена на основе явных прав пользователя в ресурсе.
- Аудит действий, выполняемых в учетных записях пользователей.
В Active Directory администраторы используют локальные учетные записи по умолчанию для управления доменами и серверами-членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и учетные записи компьютеров могут представлять физическую сущность, например компьютер или лицо, или выступать в качестве выделенных учетных записей служб для некоторых приложений.
Каждая локальная учетная запись по умолчанию автоматически назначается группе безопасности, предварительно настроенной с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые единицы. Дополнительные сведения см. в группах безопасности Active Directory.
На контроллере домена Active Directory каждая локальная учетная запись по умолчанию называется субъектом безопасности. Субъект безопасности — это объект каталога, который используется для защиты служб Active Directory и управления ими, которые предоставляют доступ к ресурсам контроллера домена. Субъект безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютера, группы безопасности или потоки или процессы, выполняемые в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в разделе «Субъекты безопасности».
Субъект безопасности представлен уникальным идентификатором безопасности (SID). Идентификаторы SID, связанные с каждой из локальных учетных записей по умолчанию в Active Directory, описаны в следующих разделах.
Некоторые локальные учетные записи по умолчанию защищены фоновым процессом, который периодически проверка и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, содержащая сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности на одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными параметрами.
Этот дескриптор безопасности присутствует в объекте Администратор SDHolder. Если вы хотите изменить разрешения для одной из групп администратора службы или любой из ее учетных записей-участников, необходимо изменить дескриптор безопасности в объекте Администратор SDHolder, чтобы обеспечить согласованное применение. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным учетным записям.
Учетная запись администратора
Учетная запись Администратор istrator — это учетная запись по умолчанию, используемая во всех версиях операционной системы Windows на каждом компьютере и устройстве. Учетная запись Администратор istrator используется системным администратором для задач, требующих административных учетных данных. Эту учетную запись нельзя удалить или заблокировать, но ее можно переименовать или отключить.
Учетная запись Администратор istrator предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на этом локальном сервере. Учетная запись Администратор istrator может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений управления доступом. Учетная запись также может использоваться для контроля над локальными ресурсами в любое время, просто изменив права пользователя и разрешения. Хотя файлы и каталоги можно защитить от учетной записи Администратор istrator временно, учетная запись может контролировать эти ресурсы в любое время, изменив разрешения на доступ.
Членство в группе учетных записей
Учетная запись Администратор istrator имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи Администратор istrator далее в этой статье.
Группы безопасности гарантируют, что вы можете управлять правами администратора, не изменяя каждую учетную запись Администратор istrator. В большинстве случаев вам не нужно изменять основные параметры для этой учетной записи. Однако может потребоваться изменить дополнительные параметры, например членство в определенных группах.
Вопросы безопасности
После установки операционной системы сервера ваша первая задача — безопасно настроить свойства учетной записи Администратор istrator. Это включает настройку особенно длинного, надежного пароля и защиты параметров профиля служб удаленного управления и служб удаленных рабочих столов.
Учетная запись Администратор istrator также может быть отключена, если она не требуется. Переименование или отключение учетной записи Администратор istrator затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись Администратор istrator отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.
На контроллере домена учетная запись Администратор istrator становится учетной записью Администратор домена. Учетная запись домена Администратор используется для входа в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись Администратор домена предоставляет доступ к ресурсам домена.
Когда контроллер домена изначально установлен, вы можете войти и использовать диспетчер сервера для настройки локальной учетной записи Администратор istrator с правами и разрешениями, которые необходимо назначить. Например, вы можете использовать локальную учетную запись Администратор istrator для управления операционной системой при первой установке. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, после установки не требуется использовать учетную запись. Учетные записи локальных пользователей можно создать только перед установкой служб домен Active Directory, а не после этого.
При установке Active Directory на первом контроллере домена в домене создается учетная запись Администратор istrator для Active Directory. Учетная запись Администратор istrator является самой мощной учетной записью в домене. Он предоставляет доступ на уровне домена и права администратора для администрирования компьютера и домена, а также имеет самые обширные права и разрешения по домену. Пользователь, который устанавливает службы домен Active Directory на компьютере, создает пароль для этой учетной записи во время установки.
атрибуты учетной записи Администратор istrator
| Атрибут | Значение |
|---|---|
| Известный SID/RID | S-1-5-500 |
| Тип | User |
| Контейнер по умолчанию | CN=Пользователи, DC= , DC= |
| элементы по умолчанию; | Н/П |
| Является членом по умолчанию. | Администратор istrator, доменные Администратор, корпоративные Администратор istrators, доменные пользователи (идентификатор основной группы всех учетных записей пользователей — пользователи домена) |
Гостевая учетная запись
Гостевая учетная запись — это локальная учетная запись по умолчанию, которая имеет ограниченный доступ к компьютеру и отключена по умолчанию. По умолчанию пароль гостевой учетной записи остается пустым. Пустой пароль позволяет получить доступ к гостевой учетной записи без необходимости ввода пароля пользователем.
Гостевая учетная запись позволяет случайным или однократным пользователям, у которых нет отдельной учетной записи на компьютере, войти на локальный сервер или домен с ограниченными правами и разрешениями. Гостевая учетная запись может быть включена, а пароль можно настроить при необходимости, но только участником группы Администратор istrator в домене.
Членство в группе гостевых учетных записей
Гостевая учетная запись имеет членство в группах безопасности по умолчанию, описанных в следующей таблице атрибутов гостевой учетной записи. По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию, которая позволяет пользователю входить на сервер и глобальную группу «Гости домена», которая позволяет пользователю войти в домен.
Участник группы Администратор istrators или группы доменных Администратор s может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.
Вопросы безопасности гостевой учетной записи
Так как гостевая учетная запись может предоставлять анонимный доступ, это риск безопасности. Он также имеет известный идентификатор БЕЗОПАСНОСТИ. По этой причине рекомендуется оставить гостевую учетную запись отключенной, если ее использование не требуется, а затем только с ограниченными правами и разрешениями в течение очень ограниченного периода времени.
Если требуется гостевая учетная запись, для включения гостевой учетной записи требуется Администратор istrator на контроллере домена. Гостевая учетная запись может быть включена без необходимости пароля или ее можно включить с помощью надежного пароля. Администратор istrator также предоставляет ограниченные права и разрешения для гостевой учетной записи. Чтобы предотвратить несанкционированный доступ, выполните следующие действия.
- Не предоставьте гостевой учетной записи право на завершение работы системного пользователя. Если компьютер завершает работу или запускается, возможно, что гостевой пользователь или любой пользователь с локальным доступом, например злоумышленник, может получить несанкционированный доступ к компьютеру.
- Не предоставляйте гостевую учетную запись с возможностью просмотра журналов событий. После включения гостевой учетной записи рекомендуется часто отслеживать эту учетную запись, чтобы другие пользователи не могли использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно оставлены предыдущим пользователем.
- Не используйте гостевую учетную запись, если у сервера есть внешний сетевой доступ или доступ к другим компьютерам.
Если вы решите включить гостевую учетную запись, не забудьте ограничить его использование и регулярно изменять пароль. Как и в случае с учетной записью Администратор istrator, может потребоваться переименовать учетную запись в качестве добавленной меры предосторожности.
Кроме того, администратор отвечает за управление гостевой учетной записью. Администратор отслеживает гостевую учетную запись, отключает гостевую учетную запись, если она больше не используется, а также изменяет или удаляет пароль по мере необходимости.
Дополнительные сведения об атрибутах гостевой учетной записи см. в следующей таблице:
Атрибуты гостевой учетной записи
| Атрибут | Значение |
|---|---|
| Известный SID/RID | S-1-5- -501 |
| Тип | User |
| Контейнер по умолчанию | CN=Пользователи, DC= , DC= |
| элементы по умолчанию; | нет |
| Является членом по умолчанию. | Гости, гости домена |
| Защита через ADMINSDHOLDER? | No |
| Безопасно ли выходить за пределы контейнера по умолчанию? | Может быть перемещен, но мы не рекомендуем его. |
| Сейф делегировать управление этой группой администраторам, не являющихся службами? | No |
Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)
Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая включена при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключается, если запросы удаленной помощи не ожидаются.
HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется приглашением. Для получения удаленной помощи пользователь отправляет приглашение с своего компьютера, по электронной почте или в качестве файла человеку, который может предоставить помощь. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись helpAssistant по умолчанию, чтобы предоставить пользователю, который предоставляет помощь ограниченному доступу к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеанса справки для удаленного рабочего стола.
Рекомендации по безопасности HelpAssistant
Идентификаторы SID, относящиеся к учетной записи helpAssistant по умолчанию, включают:
- SID: S-1-5-13 , отображаемое имя пользователя сервера терминала. Эта группа включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. В Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.
- SID: S-1-5- -14, отображаемое имя удаленного интерактивного входа. Эта группа включает всех пользователей, подключающихся к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор БЕЗОПАСНОСТИ.
Для операционной системы Windows Server удаленный помощник является необязательным компонентом, который по умолчанию не установлен. Прежде чем использовать его, необходимо установить удаленную помощь.
Дополнительные сведения об атрибутах учетной записи HelpAssistant см. в следующей таблице:
Атрибуты учетной записи HelpAssistant
| Атрибут | Значение |
|---|---|
| Известный SID/RID | S-1-5 —13 (пользователь сервера терминала), S-1-5- -14 (удаленный интерактивный вход) |
| Тип | User |
| Контейнер по умолчанию | CN=Пользователи, DC= , DC= |
| элементы по умолчанию; | нет |
| Является членом по умолчанию. | Гости домена Гости |
| Защита через ADMINSDHOLDER? | No |
| Безопасно ли выходить за пределы контейнера по умолчанию? | Может быть перемещен, но мы не рекомендуем его. |
| Сейф делегировать управление этой группой администраторам, не являющихся службами? | No |
Учетная запись KRBTGT
Учетная запись KRBTGT — это локальная учетная запись по умолчанию, которая выступает в качестве учетной записи службы «Центр распространения ключей» (KDC). Эту учетную запись нельзя удалить, и имя учетной записи невозможно изменить. Учетная запись KRBTGT не может быть включена в Active Directory.
KRBTGT также является именем субъекта безопасности, используемого KDC для домена Windows Server, как указано RFC 4120. Учетная запись KRBTGT — это сущность субъекта безопасности KRBTGT, которая создается автоматически при создании нового домена.
Проверка подлинности Windows Server Kerberos достигается с помощью специального билета Kerberos для предоставления билета (TGT), зашифрованного симметричным ключом. Этот ключ является производным от пароля сервера или службы, к которому запрашивается доступ. Пароль TGT учетной записи KRBTGT известен только службой Kerberos. Чтобы запросить билет на сеанс, TGT должен быть представлен В KDC. TGT выдается клиенту Kerberos из KDC.
Рекомендации по обслуживанию учетной записи KRBTGT
Надежный пароль назначается учетным записям KRBTGT и учетным записям доверия автоматически. Как и любые учетные записи привилегированных служб, организации должны изменять эти пароли в обычном расписании. Пароль для учетной записи KDC используется для получения секретного ключа для шифрования и расшифровки выданных запросов TGT. Пароль для учетной записи доверия домена используется для получения ключа между областью для шифрования запросов на рефералы.
Для сброса пароля необходимо либо быть членом группы доменных Администратор, либо делегировать соответствующий орган. Кроме того, необходимо быть членом локальной группы Администратор istrators или делегировать соответствующий орган.
После сброса пароля KRBTGT убедитесь, что идентификатор события 9 в источнике событий Key-Distribution-Center (Kerberos) записывается в журнал событий Системы.
Вопросы безопасности учетной записи KRBTGT
Кроме того, рекомендуется сбросить пароль учетной записи KRBTGT, чтобы убедиться, что вновь восстановленный контроллер домена не реплика te с скомпрометированный контроллер домена. В этом случае в большом восстановлении леса, которое распространяется по нескольким расположениям, вы не можете гарантировать, что все контроллеры домена завершаются и, если они завершаются, их невозможно перезагрузить еще раз до выполнения всех соответствующих действий восстановления. После сброса учетной записи KRBTGT другой контроллер домена не может реплика te этот пароль учетной записи с помощью старого пароля.
Организация, подозревающая компрометация домена учетной записи KRBTGT, должна рассмотреть возможность использования профессиональных служб реагирования на инциденты. Влияние на восстановление владения учетной записью является доменным, трудоемким и должно выполняться в рамках более крупных усилий по восстановлению.
Пароль KRBTGT является ключом, от которого все доверие в цепочках Kerberos до. Сброс пароля KRBTGT аналогичен продлению корневого сертификата ЦС с новым ключом и немедленно не доверяет старому ключу, что приведет к почти всем последующим операциям Kerberos.
Для всех типов учетных записей (пользователей, компьютеров и служб)
- Все уже выданные и распределенные TGT будут недействительными, так как контроллеры домена отклонят их. Эти билеты шифруются с помощью KRBTGT, чтобы любой контроллер домена смог проверить их. При изменении пароля билеты становятся недействительными.
- Все прошедшие проверку подлинности сеансы, прошедшие вход пользователей (на основе их билетов на обслуживание) к ресурсу (например, файловый ресурс, сайт SharePoint или сервер Exchange Server), хороши, пока запрос на обслуживание не потребуется для повторной проверки подлинности.
- Подключения, прошедшие проверку подлинности NTLM, не затрагиваются.
Так как невозможно предсказать конкретные ошибки, которые будут возникать для любого конкретного пользователя в рабочей операционной среде, необходимо предположить, что все компьютеры и пользователи будут затронуты.
Перезагрузка компьютера — единственный надежный способ восстановления функциональных возможностей, так как это приведет к повторному входу как учетной записи компьютера, так и учетным записям пользователей. Вход снова запросит новые TGT, допустимые с новым KRBTGT, что исправит любые операционные проблемы, связанные с KRBTGT на этом компьютере.
Контроллеры домена только для чтения и учетная запись KRBTGT
Windows Server 2008 представила контроллер домена только для чтения (RODC). RODC объявляется в качестве центра распространения ключей (KDC) для филиала. RODC использует другую учетную запись и пароль KRBTGT, чем KDC на контроллере домена, доступного для записи, при подписи или шифровании запросов на предоставление билетов (TGT). После успешной проверки подлинности учетной записи RODC определяет, могут ли учетные данные пользователя или учетные данные компьютера быть реплика от записываемого контроллера домена в RODC с помощью политики репликации паролей.
После кэширования учетных данных в RODC РОДC можно принять запросы на вход пользователя до изменения учетных данных. Когда TGT подписан с учетной записью KRBTGT rodC, РОДC распознает, что он имеет кэшированную копию учетных данных. Если другой контроллер домена подписывает TGT, rodC перенаправит запросы на контроллер домена, доступный для записи.
Атрибуты учетной записи KRBTGT
Дополнительные сведения об атрибутах учетной записи KRBTGT см. в следующей таблице:
| Атрибут | Значение |
|---|---|
| Известный SID/RID | S-1-5-502 |
| Тип | User |
| Контейнер по умолчанию | CN=Пользователи, DC= , DC= |
| элементы по умолчанию; | нет |
| Является членом по умолчанию. | Группа «Пользователи домена» (идентификатор основной группы всех учетных записей пользователей — «Пользователи домена») |
| Защита через ADMINSDHOLDER? | Да |
| Безопасно ли выходить за пределы контейнера по умолчанию? | Может быть перемещен, но мы не рекомендуем его. |
| Сейф делегировать управление этой группой администраторам, не являющихся службами? | No |
Параметры для локальных учетных записей по умолчанию в Active Directory
Каждая локальная учетная запись по умолчанию в Active Directory имеет несколько параметров учетной записи, которые можно использовать для настройки параметров пароля и сведений о безопасности, как описано в следующей таблице:
| Параметры учетной записи | Description |
|---|---|
| Требовать смену пароля при следующем входе в систему | Принудительно изменяет пароль при следующем входе пользователя в сеть. Используйте этот параметр, если вы хотите убедиться, что пользователь является единственным человеком, который знает свой пароль. |
| Пользователь не может изменить пароль | Запрещает пользователю изменять пароль. Используйте этот параметр, если вы хотите сохранить контроль над учетной записью пользователя, например для гостевой или временной учетной записи. |
| Password never expires | Предотвращает истечение срока действия учетной записи пользователя. Рекомендуется включить этот параметр с учетными записями служб и использовать надежные пароли. |
| Хранить пароли, используя обратимое шифрование | Предоставляет поддержку приложений, использующих протоколы, требующие знания о форме обычного текста пароля пользователя для проверки подлинности. |
Примечание. DES не включен по умолчанию в операционных системах Windows Server (начиная с Windows Server 2008 R2) или в клиентских операционных системах Windows (начиная с Windows 7). Для этих операционных систем компьютеры по умолчанию не будут использовать наборы шифров DES-CBC-MD5 или DES-CBC-CRC. Если для вашей среды требуется DES, этот параметр может повлиять на совместимость с клиентскими компьютерами или службами и приложениями в вашей среде.
Управление локальными учетными записями по умолчанию в Active Directory
После установки локальных учетных записей по умолчанию эти учетные записи находятся в контейнере «Пользователи» в Пользователи и компьютеры Active Directory. Вы можете создавать, отключать, сбрасывать и удалять локальные учетные записи по умолчанию с помощью Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC) и с помощью средств командной строки. Вы можете использовать Пользователи и компьютеры Active Directory для назначения прав и разрешений для указанного локального контроллера домена и только этого контроллера домена, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. В отличие от этого, разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером, которое регулирует доступ пользователей к объекту и каким образом. Дополнительные сведения о создании локальных учетных записей пользователей и управлении ими в Active Directory см. в статье «Управление локальными пользователями». Вы также можете использовать Пользователи и компьютеры Active Directory на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети. Вы можете получить рекомендации от Корпорации Майкрософт для конфигураций контроллера домена, которые можно распространять с помощью средства диспетчера соответствия требованиям безопасности (SCM). Дополнительные сведения см. в разделе Microsoft Security Compliance Manager. Некоторые учетные записи локальных пользователей по умолчанию защищены фоновым процессом, который периодически проверка и применяет определенный дескриптор безопасности, который представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот дескриптор безопасности присутствует в объекте Администратор SDHolder. Это означает, что, если требуется изменить разрешения для группы администратора службы или любой из ее учетных записей-участников, вам также необходимо изменить дескриптор безопасности в объекте Администратор SDHolder. Этот подход гарантирует, что разрешения применяются последовательно. Будьте осторожны при внесении этих изменений, так как это действие также может повлиять на параметры по умолчанию, которые применяются ко всем защищенным учетным записям администратора.
Ограничение и защита учетных записей конфиденциального домена
- Строго ограничивает членство в группах Администратор istrator, доменных Администратор и корпоративных групп Администратор.
- Строго контролировать, где и как используются учетные записи домена.
Учетные записи участников в группах Администратор istrator, доменных Администратор и корпоративных Администратор групп в домене или лесу являются высокоценными целями для вредоносных пользователей. Чтобы ограничить любое воздействие, рекомендуется строго ограничить членство в этих группах администраторов наименьшим числом учетных записей. Ограничение членства в этих группах снижает вероятность того, что администратор может непреднамеренно использовать эти учетные данные и создать уязвимость, которую злоумышленники могут использовать.
Кроме того, рекомендуется строго контролировать, где и как используются учетные записи конфиденциального домена. Ограничить использование учетных записей доменных Администратор и других учетных записей Администратор istrator, чтобы предотвратить их использование для входа в системы управления и рабочие станции, защищенные на том же уровне, что и управляемые системы. Если учетные записи Администратор istrator не ограничены таким образом, каждая рабочая станция, из которой администратор домена входит в систему, предоставляет другое расположение, которое злоумышленники могут использовать.
Реализация этих рекомендаций разделена на следующие задачи:
- Отдельные учетные записи Администратор istrator от учетных записей пользователей
- Ограничение доступа администратора к серверам и рабочим станциям
- Отключение делегирования учетной записи для конфиденциальных учетных записей Администратор istrator
Чтобы предоставить экземпляры, в которых ожидаются проблемы интеграции с доменной средой, каждая задача описывается в соответствии с требованиями к минимальной, лучшей и идеальной реализации. Как и во всех существенных изменениях в рабочей среде, убедитесь, что перед реализацией и развертыванием этих изменений необходимо тщательно протестировать эти изменения. Затем выполните развертывание таким образом, чтобы обеспечить откат изменений, если возникают технические проблемы.
Отдельные учетные записи Администратор istrator от учетных записей пользователей
Ограничение учетных записей Администратор домена и других конфиденциальных учетных записей, чтобы предотвратить их использование для входа на более низкие серверы доверия и рабочие станции. Ограничить и защитить учетные записи Администратор istrator путем разделения учетных записей Администратор istrator от стандартных учетных записей пользователей, разделяя административные обязанности от других задач и ограничивая использование этих учетных записей. Создайте выделенные учетные записи для администраторов, которым требуются учетные данные администратора для выполнения определенных административных задач, а затем создайте отдельные учетные записи для других стандартных задач пользователей в соответствии со следующими рекомендациями:
- Привилегированная учетная запись: выделите учетные записи Администратор istrator только для выполнения следующих административных обязанностей:
- Минимум: создание отдельных учетных записей для администраторов домена, корпоративных администраторов или эквивалентных соответствующих прав администратора в домене или лесу. Используйте учетные записи, которые были предоставлены конфиденциальным правами администратора только для администрирования данных домена и контроллеров домена.
- Лучше: создание отдельных учетных записей для администраторов, которые сократили права администратора администратора, например учетные записи для администраторов рабочих станций, а также учетные записи с правами пользователей на назначенные подразделения Active Directory (OUS).
- Идеально. Создание нескольких отдельных учетных записей для администратора, у которого есть несколько обязанностей, требующих разных уровней доверия. Настройте каждую учетную запись Администратор istrator с разными правами пользователя, например для администрирования рабочих станций, администрирования сервера и домена, чтобы администратор входить в указанные рабочие станции, серверы и контроллеры домена строго на основе своих обязанностей.
Убедитесь, что конфиденциальные учетные записи Администратор istrator не могут получать доступ к электронной почте или просматривать Интернет, как описано в следующем разделе.
Дополнительные сведения о привилегированном доступе см. в разделе «Устройства с привилегированным доступом».
Ограничение доступа администратора к серверам и рабочим станциям
Рекомендуется ограничить администраторов использованием конфиденциальных учетных записей Администратор istrator для входа на серверы с низким уровнем доверия и рабочие станции. Это ограничение запрещает администраторам непреднамеренно увеличивать риск кражи учетных данных путем входа на компьютер с низким уровнем доверия.
Убедитесь, что у вас есть локальный доступ к контроллеру домена или вы создали по крайней мере одну выделенную административную рабочую станцию.
Ограничить доступ к серверам и рабочим станциям с низким уровнем доверия для входа с помощью следующих рекомендаций:
- Минимальное значение. Ограничение доступа администраторов домена к серверам и рабочим станциям. Перед началом этой процедуры определите все подразделения в домене, содержащие рабочие станции и серверы. Все компьютеры в подразделениях, которые не определены, не ограничивают администраторов конфиденциальными учетными записями от входа в них.
- Лучше: ограничить администраторов домена с серверов и рабочих станций, не являющихся контроллерами домена.
- Идеальное значение. Ограничение входа администраторов серверов на рабочие станции в дополнение к администраторам домена.
Для этой процедуры не свяжите учетные записи с подразделением, содержащим рабочие станции для администраторов, выполняющих только обязанности администрирования, и не предоставляйте доступ к Интернету или электронной почте.
Ограничение администраторов домена на рабочих станциях (минимум)
- В качестве администратора домена откройте консоль управления групповыми политиками (GPMC).
- Откройте групповую политику управления, разверните \Домены\ .
- Щелкните правой кнопкой мыши Объекты групповой политики, а затем выберите Создать.
- В окне «Создать объект групповой политики» назовите объект групповой политики, ограничивающий вход администраторов на рабочие станции, а затем нажмите кнопку «ОК«.
- Щелкните правой кнопкой мыши новый объект групповой политики и выберите пункт «Изменить«.
- Настройте права пользователя, чтобы запретить вход локально для администраторов домена.
- Выберите политики>конфигурации>компьютера Windows Параметры> Local Policies, выберите «Назначение прав пользователя» и выполните следующие действия: a. Дважды щелкните «Запретить вход в систему локально«, а затем выберите » Определить эти параметры политики». b. Выберите «Добавить пользователя или группу«, выберите «Обзор«, введите Администратор Enterprise и нажмите кнопку «ОК«. Выберите «Добавить пользователя или группу«, выберите «Обзор«, введите Администратор домена и нажмите кнопку «ОК«.
Совет При необходимости можно добавить любые группы, содержащие администраторов серверов, которым требуется ограничить вход на рабочие станции.
Примечание. Выполнение этого шага может привести к проблемам с задачами администратора, которые выполняются в качестве запланированных задач или служб с учетными записями в группе доменных Администратор. Практика использования учетных записей Администратор istrator для выполнения служб и задач на рабочих станциях создает значительный риск кражи учетных данных, поэтому их следует заменить альтернативными средствами для выполнения запланированных задач или служб.
d. Нажмите кнопку ОК, чтобы завершить настройку.
- Свяжите объект групповой политики с первым подразделением рабочих станций. Перейдите в \Домены\ \OU путь, а затем выполните следующие действия: a. Щелкните правой кнопкой мыши подразделение рабочей станции и выберите «Связать существующий объект групповой политики«.
b. Выберите только что созданный объект групповой политики и нажмите кнопку «ОК«. 
- Проверьте функциональные возможности корпоративных приложений на рабочих станциях в первом подразделении и устраните все проблемы, вызванные новой политикой.
- Свяжите все остальные подразделения, содержащие рабочие станции. Однако не создавайте ссылку на подразделение Администратор istrative workstation, если оно создано для административных рабочих станций, предназначенных только для обязанностей администрирования и не имеющих доступа к Интернету или электронной почте.
Внимание Если позже вы расширяете это решение, не запрещайте права входа в группу «Пользователи домена». Группа «Пользователи домена» включает все учетные записи пользователей в домене, включая пользователей, доменных Администратор istratorов и корпоративных Администратор istratorов.
Отключение делегирования учетной записи для конфиденциальных учетных записей Администратор istrator
Хотя учетные записи пользователей по умолчанию не помечены для делегирования, учетные записи в домене Active Directory могут быть доверенными для делегирования. Это означает, что служба или компьютер, доверенный для делегирования, могут олицетворить учетную запись, которая проходит проверку подлинности для доступа к другим ресурсам в сети.
Для конфиденциальных учетных записей, таких как принадлежащие членам Администратор istrators, доменных Администратор или корпоративных групп Администратор в Active Directory, делегирование может представлять значительный риск эскалации прав. Например, если учетная запись в группе доменных Администратор s используется для входа на скомпрометированный сервер-член, доверенный для делегирования, этот сервер может запрашивать доступ к ресурсам в контексте учетной записи доменных Администратор s, а также скомпрометировать этот сервер-член до компрометации домена.
Рекомендуется настроить объекты пользователей для всех конфиденциальных учетных записей в Active Directory, выбрав учетную запись конфиденциальной и не удается делегировать проверка box в разделе «Параметры учетной записи», чтобы предотвратить делегирование учетных записей. Дополнительные сведения см. в разделе Параметры локальных учетных записей по умолчанию в Active Directory.
Как и при любом изменении конфигурации, проверьте этот параметр полностью, чтобы убедиться, что он работает правильно перед реализацией.
Защита контроллеров домена и управление ими
Рекомендуется строго применять ограничения на контроллеры домена в вашей среде. Это гарантирует, что контроллеры домена:
- Запустите только необходимое программное обеспечение.
- Требовать регулярного обновления программного обеспечения.
- Настраиваются с соответствующими параметрами безопасности.
Одним из аспектов защиты контроллеров домена и управления ими является обеспечение полной защиты учетных записей локальных пользователей по умолчанию. Важно ограничить и защитить все учетные записи конфиденциального домена, как описано в предыдущих разделах.
Так как контроллеры домена хранят хэши паролей учетных данных всех учетных записей в домене, они являются высокоценными целевыми объектами для вредоносных пользователей. Если контроллеры домена не являются хорошо управляемыми и защищенными с помощью ограничений, которые строго применяются, они могут быть скомпрометированы вредоносными пользователями. Например, злоумышленник может украсть учетные данные администратора конфиденциального домена из одного контроллера домена, а затем использовать эти учетные данные для атаки на домен и лес.
Кроме того, установленные приложения и агенты управления на контроллерах домена могут предоставить путь к эскалации прав, которые злоумышленники могут использовать для компрометации службы управления или администраторов этой службы. Средства управления и службы, которые ваша организация использует для управления контроллерами домена и их администраторами, также важны для безопасности контроллеров домена и учетных записей Администратор istrator домена. Убедитесь, что эти службы и администраторы полностью защищены с равными усилиями.
См. также
- Субъекты безопасности
- Обзор управления доступом