Active Directory

Question

Active Directory에서 사용자의 암호를 얻는 방법

Answer 1

관리자는 사용자 암호에 액세스 할 수 없으며 암호를 변경할 수만 있습니다.

Answer 2

비밀 번호로 간주 할 수 있다면 대단히 의심 스럽습니다. 그러나 당신은 ServerFault에서 이것을 묻는 것이 더 나을 것입니다.

액세스 할 수 있는지 확실하지 않지만 베타 기간이 지나면 등록 할 수 있습니다.

Answer 3

간단하지 않을 수 있습니다. 암호는 거의 모든 인증 시스템에 저장되지 않습니다. 대신, 대신 저장되는 '해시'로 변환됩니다. 그런 다음 암호를 알고 있음을 증명하려면 입력 한 암호를 동일한 알고리즘을 사용하여 해시로 변환하고 저장된 알고리즘과 비교하십시오.

일부는 공개/개인 키를 사용하여 해싱을 수행하며 일부는 대체 알고리즘을 사용합니다. 그들 중 누구도 해시를 원래 비밀번호로 "변환 해제"할 수 없습니다.

Answer 4

해시를 얻으려면 도메인 컨트롤러에 관리자 권한이 필요합니다. 그런 다음 암호를 복구 할 수 있는지 확인하려면 Cain과 같은 해시 크래커를 사용해야합니다. 암호가 단순하지 않으면 며칠 또는 몇 년이 걸릴 수 있습니다.

대부분의 경우 불법이며 암호를 복구하지 않고 재설정하는 것이 일반적입니다.

Answer 5

지원되는 API를 통해 프로그래밍 방식으로 Active Directory에서 암호를 읽을 수는 없지만 Password Filter을 구현하여 설정된 시점에 암호를 얻을 수 있습니다.

Answer 6

기본적으로 활성 디렉토리는 해시 알고리즘을 사용하여 사용자 암호를 저장하도록 구성됩니다. 그러나 기본값을 대체하고 대신 대칭 (가역) 암호화를 사용할 수 있습니다. 이렇게하면 사용 가능한 표준 API를 통해 암호를 검색 할 수 있습니다. AD와 대칭 암호화에 Here's a link.

또한 다른 포스터에서 언급 한대로 암호 필터를 사용하여 암호 변경 사항을 캡처하고 사용자가 암호를 변경할 때 새 암호를 캡처 할 수 있습니다. 그 이외의 암호는 재설정해야합니다. 해시는 깨지거나 복구 될 의도가 아니며 전체적인 사항입니다.

Answer 7

암호가 해시로 저장되어 있기 때문에 Active Directory에 저장된 암호를 가져올 수 없습니다. Active Directory에서 암호를 배울 수있는 유일한 시간은 암호가 설정 될 때이지만 암호 필터가 필요하고 암호 필터를 설치하려면 도메인 컨트롤러의 관리자 여야합니다.

암호를 변경하려면 사용자의 기존 암호를 알고 있어야하므로 사용자 암호를 변경할 수 없습니다. 사용자의 암호 만 재설정 할 수 있지만 사용자 계정에 대한 암호 재설정 권한이 있어야합니다.

사용자 비밀번호 재설정은 종종 관리 작업이 주니어 관리자에게 위임되며 대부분의 경우 위임 된 관리자는 사용자 계정 비밀번호를 재설정 할 수 있습니다.

http://www.activedirsec.org/t43140076/what-is-the-difference-between-the-change-password-and-reset/