有没有办法我可以审核AD以检查特定密码?
我们过去常常为所有新用户使用“标准”密码(例如MyPa55word).我想确保在我们的庄园任何地方都不再使用它.
我能想到如何做到这一点的唯一方法是:a)以某种方式为具有此密码的用户审核目录,或b)设置专门禁止使用此密码的GP(理想情况下,这会提示用户重置其密码. )
任何人都有关于如何处理这个问题的任何提示?
钽,
本
这里有几个想法 – 它们都不是非常好(从他们可能引发反病毒或入侵检测警报的角度来看):
>您可以从Active Directory中转储密码哈希值并在其上运行密码破解程序. Cain and Abel可以帮你解决问题.你可以用fgdump来获取哈希值.请注意 – 这些实用程序都可能会在您的防病毒软件中引发警钟.
>您可以编写一个简单的脚本来迭代用户列表的输出,使用“NET USE”命令检查有效密码.使用这样的东西:
@echo off
rem Destination path to "map" a "drive" to for password test
set DESTPATH=\\SERVER\Share
rem Drive letter used to "map" a "drive" to for password test
SET DRIVE_LETTER=Q:
rem NetBIOS domain name to test against
set DOMAIN=DOMAIN
rem File containing list of usernames,one per line
SET USERLIST=userlist.txt
rem Password to test
SET PASSWORD=MyPa55word
rem Output file
SET OUTPUT=output.txt
if exist "%DRIVE_LETTER%\." goto _letter_used
for /f %%i in (%USERLIST%) do (
net use %DRIVE_LETTER% %DESTPATH% /USER:%DOMAIN%\%%i %PASSWORD%
if exist "%DRIVE_LETTER%\." echo %%i password is %PASSWORD%>>%OUTPUT%
net use %DRIVE_LETTER% /d /y
)
goto end
:_letter_used
echo %DRIVE_LETTER% is already in use. Change it to a free drive letter and re-run.
:end
将用户列表放入“userlist.txt”(每行一个用户名),在脚本顶部设置变量以引用用户应该能够“映射”“驱动器”的路径,并确保您正在运行它的PC没有任何其他“驱动器”“映射”到目标服务器(因为Windows PC只允许一组凭据一次用于SMB客户端连接到给定服务器).
