Active Directory

Question

Active Directoryからユーザーのパスワードを取得する方法

Answer 1

管理者はユーザーのパスワードにアクセスすることはできません。ユーザーのパスワードは変更することしかできません。

Answer 2

これはパスワードであると考えられるのかどうかは疑いの余地があります。しかし、あなたはServerFaultでこれを尋ねるほうがよいでしょうか？

アクセス権を得ることができるかどうかはわかりませんが、一度ベータテストを済ませれば登録することができます。

Answer 3

シンプルではありません。パスワードは、ほぼすべての認証システムに格納されません。代わりに、代わりに格納される 'ハッシュ'に変換されます。次に、パスワードを知っていることを証明したいときは、入力したパスワードを同じアルゴリズムを使用してハッシュに変換し、保存したデータと比較します。

ハッシュを実行するために公開鍵/秘密鍵を使用するものもあれば、代替アルゴリズムを使用するものもあります。それらの誰も元のパスワードにハッシュを戻すことはできません。

Answer 4

ハッシュを取得するには、ドメインコントローラへの管理アクセス権が必要です。パスワードを回復できるかどうかを確認するには、Cainなどのハッシュクラッカーを使用する必要があります。パスワードが単純でない場合は、数日または数年かかることがあります。

これはほとんどの状況では不正であり、通常はパスワードを復元するのではなく、リセットすることに注意してください。

Answer 5

プログラムでサポートされているAPIを使用すると、Active Directoryからパスワードを読み取ることはできませんが、Password Filterを実装して設定された時点でパスワードにアクセスできます。

Answer 6

デフォルトでは、アクティブディレクトリは、ハッシュアルゴリズムを利用してユーザーパスワードを格納するように構成されています。ただし、そのデフォルトを上書きして、代わりに対称（可逆）暗号化を利用することができます。これにより、利用可能な標準APIを介してパスワードを取得することができます。 Here's a linkをADと対称暗号化しています。

さらに、前述の別のポスターとして、パスワードの変更をキャプチャするためのパスワードフィルタと、ユーザーがパスワードを変更したときの新しいパスワードを使用できます。それ以外のパスワードはリセットする必要があります。ハッシュは壊れたり元に戻ったりするものではありません。

Answer 7

パスワードがハッシュとして保存されているため、Active Directoryに保存されているパスワードを取得できません。 Active Directoryでパスワードを知る唯一の時間は、パスワードフィルタが設定されているときですが、そのためにはパスワードフィルタが必要です。また、パスワードフィルタを配置するには、ドメインコントローラの管理者でなければなりません。

パスワードを変更するには、ユーザーの既存のパスワードを知っている必要があるため、ユーザーのパスワードを変更することもできません。ユーザーのパスワードはリセットすることしかできませんが、そのためにはユーザーアカウントのパスワードのリセット権が必要です。

ユーザーのパスワードをリセットする管理タスクは、しばしばジュニア管理者に委任されます。ほとんどの場合、委任された管理者はユーザーアカウントのパスワードをリセットできます。

興味を持っている場合、Active Directoryユーザーアカウントのパスワードを変更すると、ここでのActive Directoryのユーザーアカウントのパスワードをリセットするとの違いについての良い議論があります：

http://www.activedirsec.org/t43140076/what-is-the-difference-between-the-change-password-and-reset/