【发布时间】:2011-05-15 16:42:16
【问题描述】:
是否可以获得机器加入的活动目录上的帐户密码?我知道这听起来可能很危险,但我想用管理员用户的用户 ctx 启动一个进程,而不用硬编码密码。
我正在使用 .NET 3.5。
【问题讨论】:
标签: c# active-directory
【发布时间】:2011-05-15 16:42:16
【问题描述】:
@SLaks 你是版主我知道,但在这里,这不是正确的答案。
在 Active-directory 中存在可用于使密码可逆的策略。
在 Windows Server 2008 R2 中,存在一种称为“细粒度密码策略”的东西,它允许更改给定用户组的密码策略。在 FGPP 中,您会找到 msDS-PasswordReversibleEncryptionEnabled 属性。
小心@dotnetdev,我不建议你使用它,但它存在。所以这不是“根本不可能”。
我的建议是发现您的工作需要哪些权限(系统权限)并为此创建一个特殊组。然后创建一个特殊用户并将其加入这个新组。在您可以存储使用管理员实体或服务实体加密的此用户(绝不是管理员)的密码之后。
【讨论】:
-
可逆加密只是意味着它应该使用较弱的散列。 (LM vs. NTLM)你仍然需要破解那个哈希;它只是变得更容易了。
-
纠正版主没有错。我们在这里管理垃圾邮件和其他问题;不要万无一失。
-
在 Microsoft 文档中:“使用可逆加密存储密码”为使用需要知道用户密码以进行身份验证的协议的应用程序提供支持。使用可逆加密存储密码本质上与存储密码的明文版本相同。
-
你是对的;我把它与不同的政策混淆了。 blog.teusink.net/2009/08/passwords-stored-using-reversible.html
这是从根本上不可能的。
Windows 使用 NTLM 哈希存储密码;密码本身根本不存储。
【讨论】:
-
我只是因为“根本”这个词而做出反应。 @Slacks,这是一条捷径。就@dotnetdev 谈到Active-Directory 而言,它存在一个密码是可逆加密的策略(我同意不普遍使用,但它存在)。