Сброс пароля администратора домена Active Directory
Мой лабораторный стенд будет состоять из 3-х виртуальных машин:
dc01.corp.ait.in.ua и dc02.corp.ait.in.ua – контроллеры домена
Some Host – не доменный хост с установленным модулем DSInternals
Первым шагом будет выключение контроллера dc02.corp.ait.in.ua и подключение его системного диска к серверу Some Host.
Подключение диска контроллера домена
После подключения диска к серверу Some Host, в диспетчере дисков переводим его в состояние Online.
Включение диска
Устанавливаем модуль DSInternals
PowerShell
Install-Module DSInternals -Force
1 | Install-ModuleDSInternals-Force |
Первым делом необходимо получить загрузочный ключ (boot key). С его помощью шифруются все хранимые хеши паролей Active Directory в базе ntds.dit. Добывается он с файлов реестра, которые доступны по пути “E:\Windows\System32\config\SYSTEM” Воспользуемся коммандлетом Get-BootKey:
PowerShell
Get-BootKey -SystemHiveFilePath «E:\Windows\System32\config\SYSTEM»
1 | Get-BootKey-SystemHiveFilePath»E:\Windows\System32\config\SYSTEM» |
Получение загрузочных ключей
Далее, получим сведения об аккаунте Administrator. Для этого выполняем:
PowerShell
Get-ADDBAccount -SamAccountName ‘Administrator’ -DBPath «E:\Windows\NTDS\ntds.dit» -BootKey a2d2082ad0aed16cdb6a678303b96b99
1 | Get-ADDBAccount-SamAccountName’Administrator’-DBPath»E:\Windows\NTDS\ntds.dit»-BootKeya2d2082ad0aed16cdb6a678303b96b99 |
Будет интересовать активирован ли аккаунт или нет.
Полная информация об аккаунте Administrator
как показано на скриншоте, аккаунт деактивирован. Включаем учетную запись коммандлетом Enable-ADDBAccount:
PowerShell
Enable-ADDBAccount -SamAccountName ‘Administrator’ -DBPath «E:\Windows\NTDS\ntds.dit»
1 | Enable-ADDBAccount-SamAccountName’Administrator’-DBPath»E:\Windows\NTDS\ntds.dit» |
В завершение, осталось установить новый пароль. Для этого выполняем:
PowerShell
Set-ADDBAccountPassword -SamAccountName ‘administrator’ -DBPath «E:\Windows\NTDS\ntds.dit» -BootKey a2d2082ad0aed16cdb6a678303b96b99
1 | Set-ADDBAccountPassword-SamAccountName’administrator’-DBPath»E:\Windows\NTDS\ntds.dit»-BootKeya2d2082ad0aed16cdb6a678303b96b99 |
Сброс пароля администратора домена Active Directory
Отключаем диск от виртуального сервера Some Host и включаем контроллер домена dc02.corp.ait.in.ua. Стоит заметить, что dc01.corp.ait.in.ua все это время работал. После включения второго он примет входящую репликацию сделанных изменений.
Диагностика статуса репликации Active Directory
Возможности Elcomsoft System Recovery
- Готов к загрузке – базируется на системе Windows PE (Preinstallation Environment)
- Восстановление или сброс паролей к учётным записям как Администратора, так и всех других пользователей
- Восстановление оригинальных паролей (в некоторых случаях), обеспечивающее доступ к данным, зашифрованным с использованием EFS
- Разблокирование учётных записей (имеющих статус locked или disabled)
- Поднятие привилегий (до уровня администратора) для любой учётной записи
- Доступ к учётным записям, у которых истёк срок действия пароля
- Поддержка широкого спектра аппаратного обеспечения; нативная поддержка файловых систем FAT, FAT32 и NTFS
- Привычный графический интерфейс Windows – легко и удобно использовать
- Поддержка всего спектра операционных систем вплоть до Windows 10 и Windows Server 2012
- Поддержка американской, русской и других локализованных версий Windows; работа с именами пользователей и паролями на всех языках
- Автоматическое определение всех установленных копий Windows
- Возможность выгрузки хэшей паролей (для дальнейшего анализа и восстановления) как из локального реестра, так и из Active Directory
Если на исследуемом ПК нет данных, зашифрованных с помощью EFS, то самым простым вариантом будет сброс пароля для восстановления доступа. Проще всего сменить пароль для данной учетной записи, более того, при этом вам не нужно знать оригинальный. А кроме того нет необходимости проводить атаки для восстановления пароля, ведь это может быть, как затратным по времени и ресурсам, так и не гарантировать результат вообще. Гораздо проще задать новый. Еще раз повторю, у вас на ПК не должно быть EFS-шифрования.
Если же вам по какой-то причине нужен сохраненный пароль, то в составе ESR есть средства для восстановления. Более того, вы не нуждаетесь в том, чтобы задавать специальные параметры. ПО умеет проводить как простой перебор возможных паролей, так и проверку по спискам наиболее часто используемых паролей. Если же атака не удалась, вы сможете извлечь хеши паролей и сохранить их для последующего исследования.
Кроме того, необходимо знать, что Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например:
- Присвоить привилегии Администратора учётной записи любого пользователя
- Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
- Сбросить или поменять пароль к учётной записи пользователя
- Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
- Показать список привилегий пользователя
- Найти учётные записи с пустым паролем
- Мгновенно восстановить пароли к некоторым специальным/системным учетным записям (например, IUSR_, HelpAssistant и т.д.)
- Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)
Таким образом, в руки исследователя приходит новый, весьма интересный инструмент, позволяющий решать задачи по восстановлению паролей.
голоса
Рейтинг статьи
Управление компьютерами
Учетные записи компьютеров представляют собой устройства, подключенные к AD.
Создание учетной записи компьютера
- В контекстном меню контейнера выберите пункт «Создать»→«Компьютер».
- Откроется окно «Создать рабочую станцию — ADMC»:
- В поле «Имя» введите название компьютера.
- В поле «Имя для входа (до Windows 2000)» введите название компьютера для старых систем.
- Нажмите кнопку «ОК».
Для изменения компьютера необходимо в контекстном меню компьютера выбрать соответствующее действие:
Включить/Отключить учётную запись компьютера
В контекстном меню компьютера, учётную запись которого вы хотите отключить или включить выберите пункт «Отключить» или «Включить» (в зависимости от состояния учётной записи будет доступно одно из этих действий).
Сбросить учётную запись компьютера
В контекстном меню компьютера, выберите пункт «Сбросить учётную запись». При этом учётная запись выбранного компьютера будет переустановлена. Переустановка учётной записи компьютера прекращает его подключение к домену и требует заново ввести данный компьютер в домен.
Переместить компьютер
- В контекстном меню компьютера выбрать пункт «Переместить…».
- В диалоговом окне «Выбор контейнера — ADMC» выберите контейнер, в который следует переместить компьютер:
- Нажмите кнопку «ОК».
Будущее Active Directory
Поскольку Active Directory является центральным ИТ-инструментом для управления контролем доступа и безопасностью, то независимо от того, идет ли речь о ИТ-безопасности или нет, вы можете повысить свою эффективность, а в большинстве случаев, добиться и того и другого. Внедрение лучших практик Active Directory является неотъемлемой частью любой ИТ-стратегии. Начиная с платформ мониторинга и заканчивая программным обеспечением для удаленного доступа, существуют десятки инструментов, которые помогут вам в этом процессе. Выберите то, что вам нужно для оптимизации рабочего процесса, обеспечения безопасности и, в конечном итоге, улучшения как ИТ-операций, так и взаимодействия с пользователем.
Как управлять учетными записями пользователей в Active Directory. Часть 4: Как найти заблокированных пользователей и разблокировать их
Пользовательские учетные записи одни из самых популярных объектов в AD. Они нужны для аутентификации и авторизации на рабочих компьютерах и во многих сервисах, интегрированных с AD. Решение различных проблем связанных с УЗ пользователей, а также управление ими является одной из главных рутин для администраторов и специалистов хелпдеска. Данное руководство поможет вам сделать это несколькими способами. Чтобы управлять УЗ пользователей, необходимо войти на контроллер домена или сервер или устройство с установленными средствами удаленного администрирования сервера (RSAT) для Active Directory Domain Services.
Для того, чтобы не было ошибок доступа нам нужен аккаунт администратора домена или группы операторов учетных записей (Account Operators group) или нам нужна УЗ, которая делегирована на создание пользовательских объектов в домене или в нужной нам организационной единице (OU), которую мы будем использовать для хранения аккаунтов.
Как найти заблокированные учетные записи пользователей
Учетные записи пользователей могут быть по какой-то причине заблокированы, и вам нужно устранить причину блокировки учетной записи, но сначала вам нужно получить список заблокированных пользователей. Есть несколько способов получить такой список.
Запустите Active Directory Administrative Center (dsac.exe). Выберите OU или контейнер, в котором вы хотите найти заблокированных пользователей. Разверните верхнюю панель, нажав на кнопку со стрелкой в правом верхнем углу.
Нажмите на кнопку Add criteria и выберите критерий Users with enabled but locked accounts (Пользователи с включенными, но заблокированными учетными записями). Нажмите Add, и заблокированные учетные записи будут отображены.
Поиск заблокированных учетных записей пользователей с помощью Windows PowerShell
Чтобы найти заблокированные учетные записи в AD, используйте следующий PowerShell скрипт:
Import-Module ActiveDirectory Search-ADAccount -LockedOut -UsersOnly | Format-Table Name,LockedOut -AutoSize
Как разблокировать учетную запись пользователя
Блокировка учетной записи — один из самых частых случаев, с которым сталкиваются системные администраторы в организациях. Иногда трудно установить ее причину, поэтому требуется глубокое расследование. Но это не повод отключать политику блокировки учетных записей, поскольку она помогает защитить учетные записи пользователей от брутфорс атак. В этом руководстве мы рассмотрим простые методы разблокировки пользователей.
Чтобы разблокировать объект пользователя, откройте Active Directory Administrative Center (dsac.exe), перейдите к OU или контейнеру, в котором содержатся пользователи. Щелкните правой кнопкой мыши на пользователя, которого вы хотите разблокировать, и выберите Properties. В появившемся окне нажмите Unlock account (Разблокировать учетную запись) и затем OK.
Чтобы разблокировать все заблокированные учетные записи в определенном OU или контейнере, выберите OU или контейнер, в котором вы хотите найти заблокированных пользователей. Разверните верхнюю панель, нажав на кнопку со стрелкой в правом верхнем углу. Нажмите на кнопку Add criteria и выберите критерий Users with enabled but locked accounts (Пользователи с включенными, но заблокированными учетными записями). Нажмите Add, и заблокированные учетные записи отобразятся. Выберите все отображенные учетные записи, зайдите в свойства и нажмите Unlock account (Разблокировать учетную запись).
Разблокировка учетных записей пользователей с помощью Windows PowerShell
Чтобы разблокировать учетную запись пользователя, необходимо выполнить следующий код PowerShell:
Import-Module ActiveDirectory Unlock-ADAccount -Identity «CN=User,CN=Users,DC=office,DC=local»
А для того, чтобы разблокировать все заблокированные учетные записи, используйте команду Search-ADAccount:
Import-Module ActiveDirectory Search-ADAccount -LockedOut -UsersOnly | Unlock-ADAccount
Проверка и восстановление доверительного отношения компьютера с доменом с помощью PowerShell
Если вы не можете аутентифицироваться на компьютере под доменной учетной записью с ошибкой “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”, вам нужно войти на компьютер под локальной учетной записью с правами администратора. Также можно отключить сетевой кабель и авторизоваться на компьютере под доменной учетной записью, которая недавно заходила на этот компьютер, с помощью кэшированных учетных данных (Cached Credentials).
Откройте консоль PowerShell и с помощью командлета Test-ComputerSecureChannel проверьте соответствует ли локальный пароль компьютера паролю, хранящемуся в AD.
Test-ComputerSecureChannel –verbose
1 |
Test-ComputerSecureChannel –verbose |
Если пароли не совпадают и компьютер не может установить доверительные отношения с доменом, команда вернет значение False –
The Secure channel between the local computer and the domain winitpro.ru is broken
1 |
The Secure channel between the local computer and the domain winitpro.ru is broken |
Чтобы принудительно сбросить пароль учётной записи данного компьютера в AD, нужно выполнить команду:
Test-ComputerSecureChannel –Repair –Credential (Get-Credential)
1 |
Test-ComputerSecureChannel –Repair –Credential (Get-Credential) |
Для выполнения операции сброса пароля нужно указать учетную запись и пароль пользователя, у которого достаточно полномочий на сброс пароля учетной записи компьютера. Этому пользователя должны быть делегированы права на компьютеры в Active Directory (можно использовать и члена группы Domain Admins, но это не комильфо).
После этого нужно еще раз выполнить команду
Test-ComputerSecureChannel
1 |
Test-ComputerSecureChannel |
и убедится, что она возвращает True (
The Secure channel between the local computer and the domain winitpro.ru is in good condition
1 |
The Secure channel between the local computer and the domain winitpro.ru is in good condition |
).
Итак, пароль компьютера сброшен без перезагрузки и без ручного перевоода в домен. Теперь вы можете аутентифицировать на компьютере под доменной учетной записью.Также для принудительной смены пароля можно использовать командлет Reset-ComputerMachinePassword.
Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corp\domain_admin
1 |
Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corp\domain_admin |
dc01.corp.winitpro.ru
1 |
dc01.corp.winitpro.ru |
– имя ближайшего DC, на котором нужно сменить пароль компьютера.
Имеет смысл сбрасывать пароль компьютера каждый раз, перед тем как вы создаете снапшот виртуальной машины или точку восстановления компьютера. Это упростит вам жизнь при откате к предыдущему состоянию компьютера.
Если у вас есть среда разработки или тестирования, где приходится часто восстанавливать предыдущее состояние ВМ из снапшотов, возможно стоит с помощью GPO точечно отключить смену пароля в домене для таких компьютеров. Для этого используется политика Domain member: Disable machine account password changes из секции Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можно нацелить политики на OU с тестовыми компьютерам или воспользоваться WMI фильтрами GPO.
С помощью командлета Get-ADComputer (из модуля Active Directory Windows PowerShell) можно проверить время последней смены пароля компьютера в AD:
Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet
1 |
Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet |
Комадлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword доступны, начиная с версии PowerShell 3.0. В Windows 7/2008 R2 придется обновить версию PoSh.
Также можно проверить наличие безопасного канала между компьютером и DC командой:
nltest /sc_verify:corp.winitpro.ru
1 |
nltest sc_verifycorp.winitpro.ru |
Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
1 2 |
Trusted DC Connection Status Status = 0x0 NERR_Success Trust Verification Status = 0x0 NERR_Success |
Работодатель заблокировал учетную запись и аккаунт что делать
- Оперативно собирать доказательства.
Если это произошло с вами, категорически важно не пускать ситуацию на самотек и как можно скорее начать собирать доказательства ограничения доступа. Любые программы и сферы: Outlook, 1C, CRM, ERP, MRP, программы типа Notion, Visual Studio, Vim, QT Creator, Eclipse, Atom, IntelliJ IDEA, Netbeans, всевозможные Гугл диски, системы электронного документооборота (ЭДО), электронные почты (внутренние и внешние), доступы к персональному компьютеру и серверы компании, доступ на корпоративные порталы, удаленные подключения, программы учета рабочего времени и прочие имеют систему идентификации пользователя
Любые программы и сферы: Outlook, 1C, CRM, ERP, MRP, программы типа Notion, Visual Studio, Vim, QT Creator, Eclipse, Atom, IntelliJ IDEA, Netbeans, всевозможные Гугл диски, системы электронного документооборота (ЭДО), электронные почты (внутренние и внешние), доступы к персональному компьютеру и серверы компании, доступ на корпоративные порталы, удаленные подключения, программы учета рабочего времени и прочие имеют систему идентификации пользователя.
Некоторые работодатели разрешают сотрудникам работать в своих учетках, но многие все же предпочитают предоставлять доступ в свою рабочую среду каждому новому сотруднику, выдавая ему логины и пароли от корпоративных почт, учеток и программ.
В идеале, такая передача должна осуществляться по Приказу руководителя под подпись сотрудника, но даже если вам просто направили нужные логины и пароли – этого тоже достаточно. Нужно чтобы оставался хоть какой-то цифровой след о предоставлении доступов.
- Это будет первым доказательством того, что работодатель может самостоятельно сменить ваши пароли или заблокировать учетные записи без вашего участия.
- Второе доказательство – фиксация факта невозможности зайти (залогиниться) в учетную запись под вашими учетными данными. Это обстоятельство нужно зафиксировать как можно скорее. Для фиксации подойдет видеозапись попытки входа с фиксацией времени, места, процесса набора логина и пароля.
Осторожно! Привлечение свидетелей может быть как плюсом, так и минусом, в нашей практике, один из работодателей пытался привлечь сотрудника к ответственности за разглашение коммерческой тайны при видеофиксации входа в аккаунт при свидетелях и показе внутренних данных корпоративного портала. В идеале – следует обратиться за фиксацией к нотариусу, который зафиксирует все этапы попытки входа, а также результаты и ответы программ и порталов;
В идеале – следует обратиться за фиксацией к нотариусу, который зафиксирует все этапы попытки входа, а также результаты и ответы программ и порталов;
Третье доказательство – обращение к работодателю с вопросом о причинах невозможности входа и просьбой сбросить или обновить пароль.
Также важный этап, который необходимо выполнить в тот же день, когда вы обнаружили невозможность доступа.
Пишите по всем доступным контактам работодателя, на почты, в мессенджеры и социальные сети, фиксируйте везде дату и время попытки входа. Безусловно, логины и пароли писать не нужно, но можете указать дату и время, когда вы получили от работодателя данные доступа, под которыми теперь не можете войти.
How to Delegate Permissions to Unlock Accounts in Active Directory?
By default, user account locks in Active Directory can only be removed by domain administrators. You can delegate permissions to non-admin users to unlock AD accounts. To do this:
- Create a new allowUnlockAccount Active Directory group in the domain;
- Open the ADUC console and right-click on the users’ OU;
- Select the item Delegate Control;
- Click Add and select the allowUnlockAccount group. Click Next;
- Select Create a custom task to delegate > Only the following objects in the folder > User objects;
- Select Property-specific and check two permissions in the list: Read lockoutTime and Write lockoutTime;
- Save your changes.
Users in the allowUnlockAccount group can now unlock accounts from the selected OU using the ADUC mmc snap-in or the Unlock-ADAccount PowerShell cmdlet.
To get information about who unlocked a user, you need to enable the Audit User Account Management policy for domain controllers (Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Account Management).
After updating the GPO, you can filter the Security Log by the Event ID 4767 (A user account was unlocked) to identify the user who unlocked the AD account.
Что делать, если ваша учетная запись в данный момент отключена?
- Войдите в другой административный аккаунт
- Включить учетную запись с помощью командной строки
- Создать новую учетную запись пользователя
- Запустите восстановление системы Windows 10
1. Войдите в другую учетную запись администратора.
Если вы получаете Учетная запись пользователя в настоящее время отключена и не может использоваться сообщение, попробуйте войти в другую учетную запись администратора.
шаги:
- Перезагрузите компьютер.
- Выберите эту другую учетную запись при загрузке.
- Введите пароль учетной записи.
- Нажмите клавишу Windows + R, затем введите lusrmgr. MSC в появившемся диалоговом окне Tun, затем нажмите Enter . Это загружает инструмент управления локальными пользователями и группами (Local).
- Выберите Пользователи, затем дважды щелкните по проблемной учетной записи пользователя.
- В разделе « Свойства учетной записи пользователя» снимите флажок « Учетная запись отключена», затем нажмите « Применить» и OK.
- Перезагрузите компьютер.
Ваша учетная запись должна быть доступна.
ТАКЖЕ ЧИТАЙТЕ: Не можете войти на свое устройство Windows 10? Вот как это исправить
2. Включите учетную запись с помощью командной строки
Если вам не удалось исправить Учетная запись пользователя в настоящее время отключена и не может использоваться с нашим предыдущим решением, попробуйте использовать командную строку .
- Нажмите на кнопку « Пуск» и введите cmd в поле поиска.
- Когда результаты загрузятся, щелкните правой кнопкой мыши cmd и выберите Запуск от имени администратора.
- Откроется окно командной строки . Введите net user useraccount / active: да, затем нажмите Enter . Замените useraccount именем учетной записи, которую вы устраняете .
- Перезагрузите компьютер и проверьте, отображается ли учетная запись на экране входа.
3. Создайте новую учетную запись пользователя
В случае, если учетная запись пользователя в настоящее время отключена и не может использоваться, ошибка все еще здесь, возможно, лучшим решением будет создание новой учетной записи пользователя.
шаги:
- Войдите в соответствующую учетную запись администратора, как описано в первом решении.
- Нажмите на кнопку Пуск .
- Выберите Настройки .
- Выберите Аккаунты.
- Нажмите Семья и другие пользователи> Добавить кого-то еще на этот компьютер.
- Введите желаемое имя пользователя и пароль. Вы увидите имя новой учетной записи в списке учетных записей.
- Теперь нажмите Изменить тип учетной записи.
- Появляется новое окно. Выберите Администратор, чтобы дать ему административные привилегии.
- Перезагрузите компьютер.
ТАКЖЕ ЧИТАЙТЕ: ИСПРАВЛЕНИЕ: Windows 10 не позволяет мне добавлять новую учетную запись пользователя
4. Запустите восстановление системы Windows 10
Если вам еще предстоит исправить Учетная запись пользователя в настоящее время отключена и не может быть использована ошибка, запустите восстановление образа системы Windows 10 на вашем ПК.
Это возвращает ваш компьютер к моменту, когда ваш аккаунт был в порядке. Наибольшим преимуществом здесь является то, что вы можете запустить процесс, даже если вы не можете войти в уязвимую учетную запись пользователя.
шаги:
- Выключите компьютер.
- Включите его снова и подождите, пока откроется экран входа в систему .
- Нажмите на значок питания (при входе в систему), затем выберите « Перезагрузить» , удерживая нажатой клавишу Shift . Если экран входа в систему появляется не сразу, продолжайте перезагружать компьютер, пока не появится экран автоматического восстановления .
- Выберите Устранение неполадок, затем Восстановление системы.
- Вам будет предложено несколько точек восстановления, как только ваш компьютер начнет восстановление. Выберите подходящую точку восстановления, относящуюся к периоду до того, как ваш компьютер столкнулся с этой проблемой.
Как вы видите, учетная запись пользователя в настоящее время отключена и не может быть использована. Ошибка может быть проблематичной, но мы надеемся, что вам удалось это исправить с помощью наших решений.
ДОПОЛНИТЕЛЬНЫЕ ЧИТАНИЯ, ВЫБРАННЫЕ ТОЛЬКО ДЛЯ ВАС:
- ИСПРАВЛЕНИЕ: сбой приложений Windows из-за поврежденной учетной записи пользователя
- Получение Код учетной записи пользователя является нулевой ошибкой? Вот как это исправить
- Как сделать себя администратором в Windows 8, 8.1,10
Поиск компьютера, с которого была заблокирована учетная запись
В первую очередь администратору нужно разобраться с какого компьютера / сервера происходят попытки ввода неверных паролей и идет дальнейшая блокировка учетной записи.
В том случае, если ближайший к пользователю контроллер домена определил, что пользователь пытается авторизоваться под неверным паролем , он перенаправляет запрос аутентификации на DC с FSMO ролью эмулятора PDC (именно он отвечает за обработку блокировок учетных записей). Если проверка подлинности не выполнялась и на PDC, он отвечает первому DC о невозможности аутентификации.
При этом в журнале обоих контроллеров домена фиксируются события 4740 с указанием DNS имени (IP адреса) компьютера, с которого пришел первоначальный запрос на авторизацию пользователя. Логично, что в первую очередь необходимо проверить журналы безопасности на PDC контроллере. Найти PDC в домене можно так:
Событие блокировки учетной записи домена можно найти в журнале Security на контролере домена. Отфильтруйте журнал безопасности по событию с Event ID 4740. Должен появится список последних событий блокировок учетных записей на контроллере домена. Начиная с самого верхнего переберите все события и найдите событие, в котором указано что учетная запись нужного пользователя (имя учетной записи указано в строке Account Name) заблокирована (A user account was locked out).
Откройте данное событие. Имя компьютера (или сервера), с которого была произведена блокировка указано в поле Caller Computer Name. В данном случае имя компьютера – TS01.
Можно воспользоваться следующим PowerShell скриптом для поиска источника блокировки конкретного пользователя на PDC. Данный скрипт вернет дату блокировки и компьютер, с которого она произошла:
$Username = ‘username1’ $Pdce = (Get-AdDomain).PDCEmulator $GweParams = @ ‘Computername’ = $Pdce ‘LogName’ = ‘Security’ ‘FilterXPath’ = “* and EventData=’$Username’]]” > $Events = Get-WinEvent @GweParams $Events | foreach
Аналогичным образом можно опросить из PowerShell все контроллеры домена в Active Directory:
$Username = ‘username1’ Get-ADDomainController -fi * | select -exp hostname | % $GweParams = @ ‘Computername’ = $_ ‘LogName’ = ‘Security’ ‘FilterXPath’ = “* and EventData=’$Username’]]” > $Events = Get-WinEvent @GweParams $Events | foreach >
Трюк 8. Вспоминаем про HTA
Последний хинт касается неофициальных исключений, на которые не действуют групповые политики. Вадимc Поданс написал в блоге отличную серию постов, посвещенных SRP-политикам. В частности, он обнаружил отличный путь для их обхода и запуска произвольного кода с использованием приложения HTA (HTML Application).
Итак, последовательность действий:
-
Создаем файлик с примерно таким текстом:
-
Сохраняем его с расширением .hta (например, execute_this.hta).
-
Создаем ярлык для него.
-
Открываем ссылку — и hta запускается.
Надо ли говорить, что вместо вызова безобидного MessageBox’а VB-код может сделать в системе что угодно? Политики SRP должны проверять весь код, который может исполняться, в том числе и всевозможные скрипты. Однако из-за тонкостей работы групповых политик данный обход работает. К аналогичным «глюковатым» расширениям помимо HTA Вадимс относит REG, MSC, HTA, CHM. Точно так же ситуация наблюдается и с com-файлами (в том числе всякими олдскульными ДОС’овскими программами, которые все еще разбросаны в папке винды). Они не учитывают правила групповых политик, так как работают в виртуальной машине DOS.