windows – 有没有办法审核AD的特定密码？

有没有办法我可以审核AD以检查特定密码？

我们过去常常为所有新用户使用“标准”密码(例如MyPa55word).我想确保在我们的庄园任何地方都不再使用它.

我能想到如何做到这一点的唯一方法是：a)以某种方式为具有此密码的用户审核目录,或b)设置专门禁止使用此密码的GP(理想情况下,这会提示用户重置其密码. )

任何人都有关于如何处理这个问题的任何提示？

钽,

本

>您可以从Active Directory中转储密码哈希值并在其上运行密码破解程序. Cain and Abel可以帮你解决问题.你可以用fgdump来获取哈希值.请注意 – 这些实用程序都可能会在您的防病毒软件中引发警钟.
>您可以编写一个简单的脚本来迭代用户列表的输出,使用“NET USE”命令检查有效密码.使用这样的东西：

    @echo off

    rem Destination path to "map" a "drive" to for password test
    set DESTPATH=SERVERShare
    rem Drive letter used to "map" a "drive" to for password test
    SET DRIVE_LETTER=Q:

    rem NetBIOS domain name to test against
    set DOMAIN=DOMAIN

    rem File containing list of usernames,one per line
    SET USERLIST=userlist.txt

    rem Password to test
    SET PASSWORD=MyPa55word

    rem Output file
    SET OUTPUT=output.txt

    if exist "%DRIVE_LETTER%." goto _letter_used

    for /f %%i in (%USERLIST%) do (
        net use %DRIVE_LETTER% %DESTPATH% /USER:%DOMAIN%%%i %PASSWORD%

        if exist "%DRIVE_LETTER%." echo %%i password is %PASSWORD%>>%OUTPUT%

        net use %DRIVE_LETTER% /d /y
    )

    goto end

    :_letter_used
    echo %DRIVE_LETTER% is already in use. Change it to a free drive letter and re-run.

    :end

将用户列表放入“userlist.txt”(每行一个用户名),在脚本顶部设置变量以引用用户应该能够“映射”“驱动器”的路径,并确保您正在运行它的PC没有任何其他“驱动器”“映射”到目标服务器(因为Windows PC只允许一组凭据一次用于SMB客户端连接到给定服务器).

就像我说的那样 – 任何一种方法都可能不是一个好主意. >微笑<

（编辑：武汉站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!