none
Экспорт-Импорт учетных записей Active Directory с паролями RRS feed

  • Вопрос

  • Коллеги, добрый день!

    Есть два домена A и B

    Задача следующая - экспортировать пользователей из домена A и импортировать их в домен B (с паролями)

    К огромному сожалению вариант с доверительными отношениями не подходит...

    Погуглив нашел способ вытащить MD5 паролей, но какой толк от них если их нельзя импортировать.

    Понимаю, вопрос немного глупый, но вдруг кому приходилось решать подобную задачу без настройки трастов между доменами?

    Спасибо!

    PS SIDы сохранять необязательно, проблема именно с паролями пользователей.


    • Изменено Sergey Ya 29 января 2018 г. 12:22
    29 января 2018 г. 12:21

Ответы

  • Есть один интересный момент. Когда пользователь меняет свой пароль в домене, он попадает на DC в открытом виде. И вот там его можно перехватить используя штатный механизм - Password Filters. Надо только найти рабочую библиотеку (или написать самому).

    https://msdn.microsoft.com/en-us/library/windows/desktop/ms721882(v=vs.85).aspx

    Добавляем библиотеку через реестр на все DC, ребутаем их и заставляем пользователей поменять пароль (как именно это сделать, решать вам).

    Вот протестированной библиотеки именно для этой задачи у меня нет. Возможно, google подскажет, где ее найти.


    • Изменено Tema_BYMVP 29 января 2018 г. 13:17
    • Помечено в качестве ответа Sergey Ya 29 января 2018 г. 16:26
    29 января 2018 г. 13:17
  • Артём,

    трудно реализуемо и опять же надо заставлять пользователей менять пароль, что опять же противоречит "главное перенести в новый лес так как есть без просьбы о смене пароля". Какая разница где пользователей заставлять это делать? Половина на такую просьбу как обычно этого не сделает/забудет/сделает вид что не видела этих просьб/еще какая то причина.

    Я бы все таки сделал с одинаковым паролем/списком паролей и пусть они его сразу меняют на "свой" при первом входе.

    • Помечено в качестве ответа Sergey Ya 29 января 2018 г. 16:26
    29 января 2018 г. 14:49

Все ответы

  • Для переноса пользователей между лесами можно использовать инструмент ADMT. Пример:

    https://social.technet.microsoft.com/wiki/contents/articles/13904.how-to-migrate-users-across-forest-cross-forest-using-admt-3-2-with-sid-and-passwords.aspx

    • Предложено в качестве ответа Ilya Ershov 29 января 2018 г. 12:36
    • Отменено предложение в качестве ответа Alexander RusinovModerator 29 января 2018 г. 14:41
    29 января 2018 г. 12:33
  • Если без трастов, тогда экпорт паролей либо с помощью паяльника у каждого пользователя, либо задаете всем одинаковый пароль в новом домене с требованием смены при первом входе.
    29 января 2018 г. 12:56
  • Если без трастов, тогда экпорт паролей либо с помощью паяльника у каждого пользователя, либо задаете всем одинаковый пароль в новом домене с требованием смены при первом входе.

    С паяльником вариант нормальный, но незаконный. :D

    Мне не обязательно знать паролей пользователей, главное перенести в новый лес так как есть без просьбы о смене пароля.

    29 января 2018 г. 13:06
  • Хранить пароль использую обратимое шифрование. - Может мне в этом как-то помочь?
    29 января 2018 г. 13:09
  • Есть один интересный момент. Когда пользователь меняет свой пароль в домене, он попадает на DC в открытом виде. И вот там его можно перехватить используя штатный механизм - Password Filters. Надо только найти рабочую библиотеку (или написать самому).

    https://msdn.microsoft.com/en-us/library/windows/desktop/ms721882(v=vs.85).aspx

    Добавляем библиотеку через реестр на все DC, ребутаем их и заставляем пользователей поменять пароль (как именно это сделать, решать вам).

    Вот протестированной библиотеки именно для этой задачи у меня нет. Возможно, google подскажет, где ее найти.


    • Изменено Tema_BYMVP 29 января 2018 г. 13:17
    • Помечено в качестве ответа Sergey Ya 29 января 2018 г. 16:26
    29 января 2018 г. 13:17
  • Артём,

    трудно реализуемо и опять же надо заставлять пользователей менять пароль, что опять же противоречит "главное перенести в новый лес так как есть без просьбы о смене пароля". Какая разница где пользователей заставлять это делать? Половина на такую просьбу как обычно этого не сделает/забудет/сделает вид что не видела этих просьб/еще какая то причина.

    Я бы все таки сделал с одинаковым паролем/списком паролей и пусть они его сразу меняют на "свой" при первом входе.

    • Помечено в качестве ответа Sergey Ya 29 января 2018 г. 16:26
    29 января 2018 г. 14:49
  • По поводу "интересного момента" - действительно, довольно трудно.

    Видимо, придется выбирать между паяльником и трастами..

    Всем спасибо за ответы!

    29 января 2018 г. 16:26