C++ Builder
| Главная | Уроки | Статьи | FAQ | Форум | Downloads | Литература | Ссылки | RXLib | Диски |

стр.: (2) < [1] 2 >
2000 server, пароли
Мичман Харитонов
Отправлено: 11.10.2005, 09:20


Ученик-кочегар

Группа: Участник
Сообщений: 21



Проблема стара как мир (ну не в смысле орбитальная станция)
Юзери имеют свойство забывать свои пароли, а мы их тоже все помнить не можем, естессно...
Появилась идея как то им жизнь облегчить (ну, если совсем честно, то больше себе)...
можна ли как-то программно узнать имена пользователей в системе и их пароли?
если да, подскажите, где копать.....
Guest
Отправлено: 11.10.2005, 10:11


Не зарегистрирован







Обычно эту проблему я (имея права админа) решаю так:
Убеждаюсь что со мной общается именно тот пользователь ставлю ему простой пароль (типа 1) и настоятельно прошу зарегистрироваться и немедленно изменить этот пароль на чтото серьезное.
Мичман Харитонов
Отправлено: 11.10.2005, 10:28


Ученик-кочегар

Группа: Участник
Сообщений: 21



smile.gif)))))
вариант
но они ж в систему к себе войти не могут!
а поскольку юзер-пароль на локальной машине и на сервере совпадают (нада ж им доступ иметь) была мысль, что б запустить прогу на сервере, которая выдаст список всех юзеров и паролей....
а то каждого так перезаводить — никаких паролев не хватит.... smile.gif))))
Vlad
Отправлено: 11.10.2005, 10:39


Машинист паровоза

Группа: Участник
Сообщений: 231



Ну что нужно бы помочь biggrin.gif
CODE

'List Local User Accounts Using WMI
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
   & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colItems = objWMIService.ExecQuery _
   ("Select * from Win32_UserAccount Where LocalAccount = True")

For Each objItem in colItems
   Wscript.Echo "Account Type: " & objItem.AccountType
   Wscript.Echo "Caption: " & objItem.Caption
   Wscript.Echo "Description: " & objItem.Description
   Wscript.Echo "Disabled: " & objItem.Disabled
   Wscript.Echo "Domain: " & objItem.Domain
   Wscript.Echo "Full Name: " & objItem.FullName
   Wscript.Echo "Local Account: " & objItem.LocalAccount
   Wscript.Echo "Lockout: " & objItem.Lockout
   Wscript.Echo "Name: " & objItem.Name
   Wscript.Echo "Password Changeable: " & objItem.PasswordChangeable
   Wscript.Echo "Password Expires: " & objItem.PasswordExpires
   Wscript.Echo "Password Required: " & objItem.PasswordRequired
   Wscript.Echo "SID: " & objItem.SID
   Wscript.Echo "SID Type: " & objItem.SIDType
   Wscript.Echo "Status: " & objItem.Status
   Wscript.Echo
Next


CODE

'Resets a computer account password in Active Directory
Set objComputer = GetObject _
   ("LDAP://CN=atl-dc-01,CN=Computers,DC=Reskit,DC=COM")

objComputer.SetPassword "atl-dc-01$"


CODE

'Change the Local Administrator Password
strComputer = "atl-ws-01"
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")

objUser.SetPassword "09iuy%4e"
objUser.SetInfo

CODE

'Returns a list of all the user accounts found on the local computer.
Set objNetwork = CreateObject("Wscript.Network")
strComputer = objNetwork.ComputerName

Set colAccounts = GetObject("WinNT://" & strComputer & "")
colAccounts.Filter = Array("user")

For Each objUser In colAccounts
   Wscript.Echo objUser.Name
Next

Ну какое расширение и что делать думаю догадаешся. какие вопросы , спросишь smile.gif
Asher
Отправлено: 11.10.2005, 10:42


Мастер участка

Группа: Модератор
Сообщений: 550



Привет.
QUOTE
запустить прогу на сервере, которая выдаст список всех юзеров и паролей....

biggrin.gif biggrin.gif biggrin.gif :lol:
Вы это серьезно???!!!
Обычно эту проблему решают так, как сказал Guest.
А после нескольких забываний запрещают такому пользователю менять пароль и регулярно выдают ему новый, без его самодеятельности. wink.gif
Vlad
Отправлено: 11.10.2005, 10:42


Машинист паровоза

Группа: Участник
Сообщений: 231



На фига ломать-то? Я же привел код скриптов по замене паролей. Даже если вошел под самым тупым юзверем, пароль админа поменяешь, на раз-два. biggrin.gif Это обычное сисадминство. — начальный уровень знаний.
Мичман Харитонов
Отправлено: 11.10.2005, 11:16


Ученик-кочегар

Группа: Участник
Сообщений: 21



Так ведь задача заключается именно в том, что б никуда не ходить, и ниче ниде не перезаводить!
просто звонит такой пользователь, запускаешь прогу, говоришь ему пароль, и все....
тихо и быстро.... и все щасливы... smile.gif
вот уж дествительно, лень — двигатель прогресса...

Vlad, о расширении-то я догадался (примерно) smile.gif))
но у меня на машине ниче нету для этого (ну,не обзавелся ишчо)...
не подскажешь, че мона использовать для этого, из того что весит поменьше?
Gedeon
Отправлено: 11.10.2005, 11:26


Ветеран

Группа: Модератор
Сообщений: 1742



2Мичман Харитонов

Почитайте какую-нить книгу про администрирование вверенного Вам сервера и делайте все правильно, иначе прийдете к абсолютно дырявой сети с кучей дырок. И получите в результате ситуацию, которую мне рассказывал один товарищ, он тут на форуме зарегистрирован leon так вот он пришел в новую контору и увидел там на контроллере домена сети состоящей из 15 машин 20 администраторов! Такую проблему надо решать именно так, как сказал Guest во 2 посте и никак иначе, за исключением только того, что пароль нужно пользователя обязательно заставить поменять неважно средствами самой ОС или стоя над головой (при этом желательно помотать юзеру нервы чтоб не повадно было). А если это повторяется не 1 раз просто поставить в известность начальство, что мол есть такой идиот — не может нихрена запомнить или не хочет — безответственно относится к работе.
А по поводу знания админом паролей юзеров я вообще уверен, что он их не только не обязан знать, но и для безопасности общей системы в целом не должен в принципе.
Vlad
Отправлено: 11.10.2005, 11:43


Машинист паровоза

Группа: Участник
Сообщений: 231



Абсолютно согласен с Gedeon
QUOTE
А по поводу знания админом паролей юзеров я вообще уверен, что он их не только не обязан знать, но и для безопасности общей системы в целом не должен в принципе.
- Это первое правило безопасности! Теперь по поводу второго
QUOTE
Так ведь задача заключается именно в том, что б никуда не ходить, и ниче ниде не перезаводить!
просто звонит такой пользователь, запускаешь прогу, говоришь ему пароль, и все....
Ни куда ходить не нужно! Лень действительно -двигатель прогресса! Во первых ни чего устанавливать не нужно, все есть в системе — попробуйте набрать в командной строке cscript.exe or wscript -и вы увидете что все есть, да забыл нужен notepad.exe!Приведенные скрипты не добавляют пользователей, а только показывают и меняют пароль. Вообщето все делается не много не так.
1. Сбрасывается пароль пользователя на контролере домена, и ставится галка, что ему при следующем входе необходимо завести новый пароль, пускай сам его придумывает и заводит.
2. Что бы заменить пароль локального админа на компах в сети, пишется логин скрипт для всех пользователей домена. В котором вставляется скрип замены пароля локального админа. В результате имеем что на всех машинах сети, поменяется пароль админа-локального. расширение скриптов vbs.
Возможнен еще один вариант — удаленный запуск скриптов, но поумолчанию, на всех машинах он запрещен. Да и дыра получаеться большая.
Мичман Харитонов
Отправлено: 11.10.2005, 11:46


Ученик-кочегар

Группа: Участник
Сообщений: 21



РРР
Народ, либо вы меня не поняли, либо я вас..
1. как тот факт, что я назову юзеру его пароль, может повлиять на целостность сети?
2. представте ситуациЮ:
Юзер не знает пароля (имеется ввиду пароль входа в систему на его машине). я тоже. поменять его  — конечно можна, но для этого ж нада ВОЙТИ в систему! просветите, как это сделать, не вводя юзер-пароль.
2а. бегать так каждый раз — ну честно, не улыбается мне...
3. А сам сервер (не в смысле SQL, а в смысле просто сервер) тут только одним боком — зна нем пользователи заведены так же, как и каждый у себя на машине (по-моему, логично). поэтому узнав пароль его на сервере, я могу сказать ему как он может зайти. и все! к серверу пользователя, окромя того что положено Уставом, пускать никто не будет!
Мичман Харитонов
Отправлено: 11.10.2005, 11:59


Ученик-кочегар

Группа: Участник
Сообщений: 21



Vlad, Не найдено имя файла или класса при операции программирования объектов: 'GetObject' — это нада полагать куда он меня послал? smile.gif
Vlad
Отправлено: 11.10.2005, 12:48


Машинист паровоза

Группа: Участник
Сообщений: 231



Безопасность, еще раз безопасность. Почему админ не должен знать пароля юзверя, да хотя бы потому, что : только пользователь отвечает за все действия которые он производит , допустим в какой нибудь супер-мупер-бупер экономической программе. Вдруг он сделает что то не то. Кого искать? Возникает вопрос либо юзвер напортачил, то ли админ со своими шолавливыми ручками побаловался. В зависимости от ущерба, могут выплачивать обои : и юзвер и админ за компанию. Будет ему наука чужие пароли знать.
Vlad
Отправлено: 11.10.2005, 12:51


Машинист паровоза

Группа: Участник
Сообщений: 231



Операционнка на которой запускаешь? какой из скриптов ругается?
Мичман Харитонов
Отправлено: 11.10.2005, 13:09


Ученик-кочегар

Группа: Участник
Сообщений: 21



запускать пробовал и на 98 и на 2000
ругается 'List Local User Accounts Using WMI......'
и ругается одинаково....
а насчет безопастности — так они у нас в отдельной проге работают (это что касается бугалтерри и т.д.) там свои пароли, эт отдельная тема....
Vlad
Отправлено: 11.10.2005, 13:28


Машинист паровоза

Группа: Участник
Сообщений: 231



List User Accounts on the Local Computer
Supported Platforms:Windows Server 2003 Yes
Windows XP Yes
Windows 2000 Yes
Windows NT 4.0 Yes
Windows 98 No

Change the Local Administrator Password
Windows Server 2003 Yes
Windows XP Yes
Windows 2000 Yes
Windows NT 4.0 Yes
Windows 98 Yes
Смотри внимательно. Да и про wmi на 98 — забудь. могу сбросить файлом, только какой из скриптов?
Мичман Харитонов
Отправлено: 11.10.2005, 13:41


Ученик-кочегар

Группа: Участник
Сообщений: 21



мне ниче менять не нада, мне нада просто узнать
так что кидай, который первый...
который на список паролей и юзверей
а насчет 98 — фиг с ним....
эт у меня на машине 98, а вобще прога будет запускатся на 2000 сервер....
только вот на обычной 2000 оно ж тоже самое говорило sad.gif((
Мичман Харитонов
Отправлено: 11.10.2005, 14:12


Ученик-кочегар

Группа: Участник
Сообщений: 21



разобрался
на 2000 теперь выдает другое
ошибка на 9-ой строке sad.gif(((((
там де цикл начинается.....
что ему нада? sad.gif(((
Kuks
Отправлено: 11.10.2005, 14:31


Станционный диспетчер

Группа: Участник
Сообщений: 108



Честно говоря не понял, че надо Мичману Харитонову!
Ну залез в AD, и поменял любому юзеру пароль с любого
компа где есть aminpak, а зачем знать пароли юзеров
если у админа доступ ко всему?
Мичман Харитонов
Отправлено: 11.10.2005, 14:55


Ученик-кочегар

Группа: Участник
Сообщений: 21



smile.gif)))))))))))
да не хо я их менять!!!
они один-единственный запомнить не могут! а если их менять — это еще сложнее...
и на компах у нас нет вещей типа удаленный админ sad.gif(((
Vlad
Отправлено: 11.10.2005, 15:26


Машинист паровоза

Группа: Участник
Сообщений: 231



сегодня уже некогда, завтра с утра выложу. И на какой ящик то кидать?
Мичман Харитонов
Отправлено: 11.10.2005, 15:51


Ученик-кочегар

Группа: Участник
Сообщений: 21



кидай на michmanharitonov@mail.ru
или просто тут выложи, как удобнее...
спасибо!
*Dima
  Отправлено: 12.10.2005, 08:50


Не зарегистрирован







оНД 2000 БХМДНИ Б AD бШ МХЙЮЙ МЕ СГМЮЕРЕ ОЮПНКЭ ОНКЭГНБЮРЕКЪ, ДЮ ДЮФЕ Х АЕГ AD бШ ЕЦН МЕ СГМЮЕРЕ, ЮДЛХМХЯРПЮРНП ЛНФЕР ЕЦН РНКЭЙН ХГЛЕМХРЭ Х ГЮЯРЮБХРЭ ОНКЭГНБЮРЕКЪ ОНЛЕМЪРЭ ОЮПНКЭ МЮ МНБШИ Х ЯННРБЕРЯРБСЧЫХИ РПЕАНБЮМХЪЛ ОНКХРХЙХ АЕГНОЮЯМНЯРХ.

мС Ю ЕЯКХ БЮЛ СДЮЯРЯЪ ОНКСВХРЭ ЯОХЯНЙ ОЮПНКЕИ — бШ ЛНФЕРЕ ЯЛЕКН ОПНЯХРЭ Б Microsoft АНКЭЬСЧ ОПЕЛХЧ ГЮ ЩРН.
Dima
Отправлено: 12.10.2005, 09:07


Дежурный стрелочник

Группа: Участник
Сообщений: 61



Под 2000 виндой в AD Вы никак не узнаете пароль пользователя, да даже и без AD Вы его не узнаете, администратор может его только изменить и заставить пользователя поменять пароль на новый и соответствующий требованиям политики безопасности.

Ну а если вам удастся получить список паролей — Вы можете смело просить в Microsoft большую премию за это.
Konstantine
Отправлено: 12.10.2005, 11:02


Мастер участка

Группа: Модератор
Сообщений: 545



скажу и я...
1) по поводу — админ не должен знать паролей — так какой это админ??? админ должен знать ВСЁ в сети потому что ЕМУ руководство доверило эту миссию... так же как и бухгалтерии — считать деньги, так же как водителю — возить людей...
2) если пользователю и можно менять пароль — то ТОЛЬКО с уведомления админа.
3) если можно — используйте домен — упрощает одминистрирование и разграничение доступа к компьютерам (в т.ч. и доступ по сети) — сильного компа не надо — нужна лишь ОС класса Server (из отряда Виндообразных)
4) на компьютерах должна быть заведена и включена учётка Админа (причём локального, а не доменного) и его пароль должен знать только Админ.
5) если стоит ОС Win XP, то включите RemoteDesktop (по дефолту отключен) и дайте это право лишь учётке админа (по дефолту — вся группа Администраторы) — можно будет по сети заходить на удалённый комп под админом.

вот пожалуй — минимум из администрирования...
а теперь про сами пароли:
пароли в Винде сохраняются в закрытом виде — т.е. с ним делается преобразование, которая НЕ ИМЕЕТ обратного. и результат храниться...
при обработке введённого юзером пароля над ним тоже выполняется это-же преобразование и сравнивается РЕЗУЛЬТАТ (а не пароли) — поэтому и получить их почти невозможно (почти — т.к. возможен подбор)
Админ имеет право лишь установить новый пароль любому юзеру...

P.S.: лень-ленью, а пройтись (если недалеко) — полезно smile.gif
AVC
Отправлено: 12.10.2005, 11:29


Ветеран

Группа: Модератор
Сообщений: 1583



QUOTE (Konstantine @ писал)

12/10/2005, 10:02
скажу и я...
1) по поводу — админ не должен знать паролей — так какой это админ??? админ должен знать ВСЁ в сети потому что ЕМУ руководство доверило эту миссию... так же как и бухгалтерии — считать деньги, так же как водителю — возить людей...
2) если пользователю и можно менять пароль — то ТОЛЬКО с уведомления админа.

А по моему это ущемление прав пользователей. Админ не должен знать пароля пользователя а иметь возможность его изменить, отсюда и спорность п2.
Полностью согласен с п3 и п4 (домены и локальный админ)


QUOTE (Dima @ писал)

Под 2000 виндой в AD Вы никак не узнаете пароль пользователя, да даже и без AD Вы его не узнаете, администратор может его только изменить и заставить пользователя поменять пароль на новый и соответствующий требованиям политики безопасности.

Ну а если вам удастся получить список паролей — Вы можете смело просить в Microsoft большую премию за это.

А подбор? Мой пароль (теперь бывший) был вскрыт за 2 часа. smile.gif
Vlad
Отправлено: 12.10.2005, 12:55


Машинист паровоза

Группа: Участник
Сообщений: 231



QUOTE
1) по поводу — админ не должен знать паролей — так какой это админ??? админ должен знать ВСЁ в сети потому что ЕМУ руководство доверило эту миссию...
Если вы встречались с авторизацией типа 3 из 5, вы поймете почему админу недано знать пароль пользователя. Во всех нормальных системах , в том числе и в винде не зря устанавливается срок пароля, длина пароля, условие что при первом же входе пользователь обязанввести новый пароль. Если в конторе админ знает все пароли пользователей, безопасность в ней на уровне плинтуса. Он является самым уязвимым звеном.
QUOTE
А подбор? Мой пароль (теперь бывший) был вскрыт за 2 часа.
В винде узнать пароль нельзя, можно изменить или подобрать, как и в вашем случае. При длинне пароля более 8 символов, замучаетесь подбирать, если конечно пароль соответствуют нормам безопасности (а не фамилия пользователя или типа 12345678). Мне больше всего прикалывает норма безопасности у вин2003 по умолчанию, явно ребята слегка перестаралиь. Если его ввести фиг потом запомнишь biggrin.gif
Gedeon
Отправлено: 12.10.2005, 12:57


Ветеран

Группа: Модератор
Сообщений: 1742



Ну что сюда переехали.


Итак,
по 1
Не должен он знать их и все. В случае любых неверных действий пользователя можно однозначно сказать, что это действия пользователя — другого не может быть, иначе если админу надо, он может зайти на любой комп под собой и это уже будут действия админа (можно смотреть в зависимости от наличия и настройки аудита). Т.е. имеется ввиду не не знать пароль администратора для входа на пользовательскую тачку, а не знать именно пароля под логин самого пользователя, в том числе и в домен.
по 2 и может и должен, более того еще и обязательно в определенный период (считаю оптимальным 2 недели) в соответствии с политикой безопасности, к-рая м.б. достаточно жестока, именно для попытки прорвать защиту подбором.
по 3,4 — это прописные истины
по 5 я предпочитаю Radmin — нет привязки к ОС и м.б. открыто много окон, кроме того, разные виды подключения: копирование файлов, просто просмотр, полный контроль, возможность обмениваться буфером обмена, и еще куча всего, перечислять лень smile.gif .

А вот по поводу сходить — это полезно если 1 ну 2 раза и не занят, а если как раз что-нить с серваком, или 2-мя, и тут 15 идиотов звонят по этому поводу, а еще 2 требуют прийти, то как-то не очень.
Konstantine
Отправлено: 13.10.2005, 11:22


Мастер участка

Группа: Модератор
Сообщений: 545



да, тут правильнее... по началу тема создана правильно, но ушла в другую сторону smile.gif...

ладна, признаю, при жёсткой политике безопасности (у меня на работе очень мягкая) — согласен, нужно чтоб юзеры сами частенько меняли пассворды... НО

вы хоть раз видели какие юзеры вводят пароли? нет? они ж никогда не додомаются ввести что-то типа "cFjk239wcs" НЕТ, не ждите... может 1 из 10000 такое и введёт.. а у всех будет "123", "Таня", "лето", "Samsung" и т.п...
так какая ж тут безопасность???
я в универе как учился — админы давали пароли — 6 символов рандом (Б,м буквы+цифры) запоминался — с 4-го набора... сейччас подобные пароли даю своим юзерам — сначала воют... а потом прихожу чрез неделю — они уже вслепую его набирают smile.gif
вот почему IMXO пасворды должен давать Админ... потому что юзеры к этому НЕСПОСОБНЫ.

кста — rAdmin- не пользуюсь — так сложилось исторически — тут в конторе его не ставили, а чтоб поставили — нужно много начальства пройти...

кстати — а админский пароль — у кого на сколько символов? у меня личный — 12 рандомных... набираю за 3 сек. проверка в комп.клубе показала что из 20 чел никто больше 3 первых символов не запомнил... (особенно если пользоваться BackSpace-ом:)) cool.gif
Gedeon
Отправлено: 13.10.2005, 13:03


Ветеран

Группа: Модератор
Сообщений: 1742



QUOTE (Konstantine @ 13/10/2005, 11:22)
вы хоть раз видели какие юзеры вводят пароли? нет? они ж никогда не додомаются ввести что-то типа "cFjk239wcs" НЕТ, не ждите... может 1 из 10000 такое и введёт.. а у всех будет "123", "Таня", "лето", "Samsung" и т.п...
так какая ж тут безопасность???

Ну вот для этого на серверах и есть политика сложности пароля, то о чем писал Vlad: Мне больше всего прикалывает норма безопасности у вин2003 по умолчанию, явно ребята слегка перестаралиь.
Dima
Отправлено: 14.10.2005, 08:03


Дежурный стрелочник

Группа: Участник
Сообщений: 61



Gedeon сказал абсолютно правильно. Смотрите настройку политик безопасности. Там же и количество попыток ввода пароля до блокирования аккаунта и насколько и как он блокируется.
стр.: (2) < [1] 2 >
Вернуться в Компьютерное железо и системное администрирование.