Форум 3DNews

Форум 3DNews (http://forum.3dnews.ru/index.php)
-   Информационная безопасность, защита от вирусов (http://forum.3dnews.ru/forumdisplay.php?f=38)
-   -   Разрешение аннулировать (Reset) свой пароль в домене (http://forum.3dnews.ru/showthread.php?t=142500)

Freerider 29.01.2020 13:53

Разрешение аннулировать (Reset) свой пароль в домене
 
Как дать пользователю домена разрешение аннулировать (Reset) только свой пароль, разрешение только на это действие, не добавляя его в Account Operators и т.д ? буду раз подсказкам.

Попытался в ярлыке Security пользователя, выбираю группу Self, даю разрешение ресетить свой пароль, далле иду на рабочую станцию с данным пользователем CMD> net user %username% 12345 /domain > получаю Access is denied....

zl0dey4eg 29.01.2020 21:25

Цитата:

Сообщение от Freerider (Сообщение 2693336)
Как дать пользователю домена разрешение аннулировать (Reset) только свой пароль,

Вообще то, это разрешено по умалчанию.

Если нажать Ctrl+Alt+Del на доменной машине и выбрать опцию "сменить пароль". ;)

Freerider 02.02.2020 00:46

Ты имееш в виду Change Password, я говорю о Reset Password, тоесть аннулировать не зная свой старый пароль

zl0dey4eg 02.02.2020 11:38

Цитата:

Сообщение от Freerider (Сообщение 2693699)
Ты имееш в виду Change Password, я говорю о Reset Password, тоесть аннулировать не зная свой старый пароль

Reset password - привелегия администраторов домена, ее конечно можно выдать пользюкам, но это сломает всю безопасность.

Отдельно разрешить пользователю ресетить свой пароль - нелься, только смена.

Smirnoff 03.02.2020 11:48

Цитата:

Сообщение от zl0dey4eg (Сообщение 2693714)
ее конечно можно выдать пользюкам

Тогда разумнее сразу уничтожить домен и переходить на работу с рабочими группами без паролей...

Freerider 04.02.2020 00:04

Вложений: 1
Цитата:

Сообщение от zl0dey4eg (Сообщение 2693714)
но это сломает всю безопасность


Цитата:

Сообщение от Smirnoff (Сообщение 2693802)
разумнее сразу уничтожить домен

Позвольте не согласится, подрозумевается что пользователь сможет ресетить свой пароль:
1) Только после того как он уже залогинился (парадокс, но в этом есть смысл, момент...)
2) Эту опцию мне нужно позволить на определенное время, пока длится проект.

Поясню:
Есть фирма которая работает со смарт картами (PKI, сертификаты и т.д) их эта тема задолбала, они хотят перейти на обычные магнитные карты. Сейчас пользователи само собой не знают своего собственного пароля, но он им обязательно нужен чтоб пройти автоматическую процедуру присвоения магнитной карты своему юзеру

Процесс:
Пользователь логинится на свой комп со смарт картой, перед ним всплывает окошко (которое мы разработаем) которое просит его дать своему юзеру пароль (процесс аннулирования своего пароля, за кулисами это команда CMD: Net user "юрезнейм" "пароль" /domain) и далее в соответственном окошке он присваевает своему юзеру карту. Финал

Собственно есть такая опция в настройках пользователя как Reset Password (которая пока не заработала) вдобавок есть группа Self, так что в данном случае нарушения безопасности нету...

Freerider 12.02.2020 17:02

Кто нибудь, какие нибудь догадки ?

garniv 12.02.2020 17:13

Цитата:

Сообщение от Freerider (Сообщение 2693841)
всплывает окошко

А это окошко с чьими правами может запускаться?

zl0dey4eg 12.02.2020 22:05

Цитата:

Сообщение от garniv (Сообщение 2694748)
А это окошко с чьими правами может запускаться?

Тоже об этом подумал. Почему окошко не запускать с правами администратора домена?
Это через GP сделать не так сложно, и безопасность не пострадает в домене.

Freerider 17.02.2020 10:42

Цитата:

Сообщение от garniv (Сообщение 2694748)
А это окошко с чьими правами может запускаться?

Если я правильно понимаю, это подрозумевает вписать данные учетной записи в тот самый скрипт, думаю такое мякго говоря не одобрят, потому как их оттуда можно будет легко извлеч.

Цитата:

Сообщение от zl0dey4eg (Сообщение 2694786)
то через GP сделать не так сложно

Как, чтоб исключить возможность попадания этих данных рядовому пользователю ?

garniv 17.02.2020 19:38

Цитата:

Сообщение от Freerider (Сообщение 2695296)
это подрозумевает вписать данные учетной записи в тот самый скрипт

Думаю что окошко (скрипт или что там у вас будет) просто представляет из себя графическю форму: с полем ввода пароля и кнопкой(ок/отмена). Оно запросит пароль пару раз, и если они совпадают - сделает Net user "юрезнейм" "пароль" /domain

Что-то типа
Код:

Dim strPass1, strPass2, passok
Set oShell = WScript.CreateObject ("WScript.Shell")

Do Until passok = 1
        strPass1 = InputBox("Введите пароль")
        strPass2 = InputBox("Повторите пароль")
        If strPass1 = strPass2 and strPass1<>"" Then
                oShell.run "cmd.exe /C ping ya.ru"
                Set oShell = Nothing'
                MsgBox ("Пароль успешно установлен")
                passok = 1
        Else MsgBox ("Пароли не совпадают! Повторите ввод пароля.")
        End if
Loop


Freerider 18.02.2020 14:45

Цитата:

Сообщение от garniv (Сообщение 2694748)
А это окошко с чьими правами может запускаться?

Так как желательно чтоб вся процедура проходила автоматически, то с правами обычного пользователя.


Текущее время: 15:28. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot