none
Сброс пароля по контрольным вопросам RRS feed

  • Вопрос

  • Добрый день.

    Подскажите плиз, можно ли в AD реализовать механизм сброса пароля по контрольным вопросам или через SMS?

    MIM (FIM) может в этом помочь?
    Спасибо.


    29 ноября 2018 г. 14:29

Ответы

  • Все проще

    Вопрос это логин + ответ из смс + поле ввода пароля (может быть шифровано)

    Логин вводите в форму и жмакаете отправить => логин передаете в скрипт который ищет пользюка в ад и отправляет смс на номер указанный в ад в одном из преднастроенных полей

    Полученную смс вводите во второе поле, вводите новый пароль  => жмакаете сбросить => передаете во второй скрипт который проверяет пароль из смс и если все ок то сбрасывает пароль пользюка на то который был в поле желаемого нового пароля


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа sekii911 29 ноября 2018 г. 20:06
    29 ноября 2018 г. 20:01
    Модератор

Все ответы

  • PowerShell, если им не владеете, то придется нанимать фрилансера
    29 ноября 2018 г. 16:48
  • Вопрос можно решить вебсервисом + Powershell`oм

    Мы решали похожую задачу через SC Orchestrator, хотя его применение было обоснованно скорее интересностью продукта (и его наличием) нежели необходимостью


    The opinion expressed by me is not an official position of Microsoft

    29 ноября 2018 г. 18:51
    Модератор
  • PowerShell то обладаю, но смутно представляю как с помощью него можно что-то вывести на логон-окно.
    Подскажите плиз, как именно это выглядит?
    29 ноября 2018 г. 19:32
  • SC у нас есть, web сервис сделать тоже не проблема.

    А поделитесь плиз, как у Вас это реализовано  - сам принцип какой?
    Как человек может зайти на web страницу, если не может залогинится на ПК?

    Сброс пароля powershell, то понятно как сделать и даже предполагаю, что через него и sms можно отправить, но вот как, вернее куда пользователь может ввести контрольный ответ, и где его в AD хранить...

    Спасибо.

    29 ноября 2018 г. 19:37

  • Подскажите плиз, как именно это выглядит?

    Форма HTML -> <form>тут ваши кнопочки и поля ввода</form> -> далее срабатывает механизм <form scr=ВАША_ОБРАБОТКА> -> обработка должна быть написана на php. net или любой другой понятный вам язык -> обработка запускает скрипт ps в который входят POST отсюда <form>...</form> -> далее на ваше усмотрение.

    Поправьте, если ошибаюсь

    29 ноября 2018 г. 19:39
  • Ага, ну по самой форме и скрипту то вопросов нет - это можно подумать как все сделать.

    Вопрос немного в другом, как это добавить это на логон страницу?

    29 ноября 2018 г. 19:44
  • И самое интересное - где и как хранить вопросы и ответы на них. :)
    29 ноября 2018 г. 19:45
  • Ага.
    Вопрос можно один на всех, а ответ конечно можно хранить в каком нибудь атрибуте учетки в AD, но как то это не секъюрно...
    29 ноября 2018 г. 19:47
  • Ага, ну по самой форме и скрипту то вопросов нет - это можно подумать как все сделать.

    Вопрос немного в другом, как это добавить это на логон страницу?

    Проявите немного фантазии и посмотрите как сделано у других

    Вы заходите на страницу - вводите логин - идет обработка которая подгружает вопросы в зависимости от того какую учетку ввели - далее как я вам описал выше


    29 ноября 2018 г. 19:48
  • Можно наверное ответ как-то шифрануть и записать в атрибут...
    29 ноября 2018 г. 19:48
  • Можно наверное ответ как-то шифрануть и записать в атрибут...

    Можно, но как по мне - не безопасно. Ибо Вася может выполнить Get-aduser -property * и увидит все ваши атрибуты.

    Но как вы заметили - можно шифровать и Вася увидит набор символов, а расшифровываться будет той же обработкой ибо мы знаем соль и тд тд тд

    29 ноября 2018 г. 19:51
  • Не хватает мне фантазии, вот почему и обратился за помощью.
    Как зайти на страницу-то когда ПК заблокирован? Там же только два поля- логин/пароль. 
    29 ноября 2018 г. 19:51
  • Как зайти на страницу-то когда ПК заблокирован? 

    Вот с этого и нужно было начинать)))

    Ответ - никак

    Либо создать учетку -  domen\recoveryPassword, накрутить на нее GPO в котором будет все залочено и будет сразу загружаться браузер с вашей страницей, плюс максимум урезать права в AD

    29 ноября 2018 г. 19:57
  • Все проще

    Вопрос это логин + ответ из смс + поле ввода пароля (может быть шифровано)

    Логин вводите в форму и жмакаете отправить => логин передаете в скрипт который ищет пользюка в ад и отправляет смс на номер указанный в ад в одном из преднастроенных полей

    Полученную смс вводите во второе поле, вводите новый пароль  => жмакаете сбросить => передаете во второй скрипт который проверяет пароль из смс и если все ок то сбрасывает пароль пользюка на то который был в поле желаемого нового пароля


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа sekii911 29 ноября 2018 г. 20:06
    29 ноября 2018 г. 20:01
    Модератор
  • Все проще

    Вопрос это логин + ответ из смс + поле ввода пароля (может быть шифровано)

    Логин вводите в форму и жмакаете отправить => логин передаете в скрипт который ищет пользюка в ад и отправляет смс на номер указанный в ад в одном из преднастроенных полей

    Полученную смс вводите во второе поле, вводите новый пароль  => жмакаете сбросить => передаете во второй скрипт который проверяет пароль из смс и если все ок то сбрасывает пароль пользюка на то который был в поле желаемого нового пароля


    The opinion expressed by me is not an official position of Microsoft

    Шикарно! Про СМС как-то не подумал.

    Завтра предложу коллегам)

    Спасибо за идею!

    29 ноября 2018 г. 20:04
  • Как зайти на страницу-то когда ПК заблокирован? 

    Вот с этого и нужно было начинать)))

    Ответ - никак

    Либо создать учетку -  domen\recoveryPassword, накрутить на нее GPO в котором будет все залочено и будет сразу загружаться браузер с вашей страницей, плюс максимум урезать права в AD

    Есть вариант машинку просто в домен не вводить

    The opinion expressed by me is not an official position of Microsoft

    29 ноября 2018 г. 20:05
    Модератор
  • Как зайти на страницу-то когда ПК заблокирован? 

    Вот с этого и нужно было начинать)))

    Ответ - никак

    Либо создать учетку -  domen\recoveryPassword, накрутить на нее GPO в котором будет все залочено и будет сразу загружаться браузер с вашей страницей, плюс максимум урезать права в AD

    Ну а как Вы по другому это представляли? Как еще пользователь может сам сбросить пароль?
    29 ноября 2018 г. 20:05
  • Все проще

    Вопрос это логин + ответ из смс + поле ввода пароля (может быть шифровано)

    Логин вводите в форму и жмакаете отправить => логин передаете в скрипт который ищет пользюка в ад и отправляет смс на номер указанный в ад в одном из преднастроенных полей

    Полученную смс вводите во второе поле, вводите новый пароль  => жмакаете сбросить => передаете во второй скрипт который проверяет пароль из смс и если все ок то сбрасывает пароль пользюка на то который был в поле желаемого нового пароля


    The opinion expressed by me is not an official position of Microsoft

    Ооо, круто! Действительно просто.
    Спасибо большое!
    29 ноября 2018 г. 20:07

  • Ооо, круто! Действительно просто.
    Спасибо большое!
    главное что бы фронт не отвечал за принятие решений

    The opinion expressed by me is not an official position of Microsoft

    29 ноября 2018 г. 20:46
    Модератор
  • ЕМНИП, то готовый механизм смены паролей в AD On-Premises есть в Azure Active Directory + вы можете развернуть Azure MFA Server и использовать эту связку - например там не только смс, но и сертификаты, мобильные приложения.
    30 ноября 2018 г. 6:07
  • ЕМНИП, то готовый механизм смены паролей в AD On-Premises есть в Azure Active Directory + вы можете развернуть Azure MFA Server и использовать эту связку - например там не только смс, но и сертификаты, мобильные приложения.
    Подскажите, а это только с облаком работает или можно все локально развернуть?
    30 ноября 2018 г. 6:10
  • Это работает как гибрид.
    30 ноября 2018 г. 6:12
  • Это работает как гибрид.
    Просто у нас нет Azure...
    30 ноября 2018 г. 6:14
  • Ну его можно легко оформить, вам ведь в любом случае потребуется решение для отправки смс и т.п.

    А там глядишь и ещё облачному функционалу найдёте применение.

    30 ноября 2018 г. 6:17
  • Ну его можно легко оформить, вам ведь в любом случае потребуется решение для отправки смс и т.п.

    А там глядишь и ещё облачному функционалу найдёте применение.

    Да, но это наверное доп.расходы, а sms шлюз у нас уже есть.
    Но все равно подумаем.
    Спасибо.
    30 ноября 2018 г. 6:23