Автор Тема: Где хранятся пароли и имена юзеров...  (Прочитано 2892 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Nomad

  • ***
  • Сообщений: 3370
    • Просмотр профиля
#0: 19 Апреля 2005, 15:20:36
Ситуация такая:
Есть удаленный сервер, синхронизирую юзеров с ним с помощью VPN. Потом они входят в систему выбирая домен в котором они зарегистрированы, но уже пользуются компом в офф-лайн, т.е. без доступа к серваку. На локальном компе в Documents and Settings создается папка с их профилем. Но в менеджементе локального компа эти пользователи не отображены. Знаю, что инфу о паролях таких юзеров можно посмотреть на домене. А на локалььном компе они где-нибудь хранятся?
Спасибо за внимание,

Maniac

  • Гость
#1: 22 Апреля 2005, 12:57:03
на локальном они не хранятся, на то это и доменная система...

 fluf

  • Гость
#2: 22 Апреля 2005, 13:38:34
грубо говоря, пароли (если рассматривать w2k и выше) вообще нигде не хранятся. хранятся только хэши паролей. хотя если не ошибаюсь, в рамках одного сеанса хэш пароля залогоненного юзера сохраняется виндой в системной пуле, дабы избежать повторной авторизации при обращении в ресурсам требующим онную.
но это очень грубое представление, на самом деле все куда как сложнее, особенно при поднятом AD.

а физичиески пароли, при работе через PDC, хранятся в sam файле на сервере в  system-root /config/
а при работе через AD, в ms jet базе данных, в выбранной при поднятии AD директории.

вроде так.

Nomad

  • ***
  • Сообщений: 3370
    • Просмотр профиля
#3: 23 Апреля 2005, 06:31:47
Но ведь когда загружаешь клиента без участия сервера, то вводишь пароль и имя юзера.. и загрузка идет без участия сервака, таким образом пароль должен хранится на локальной машине.. это мне так кажется...

Флаф, расшифруй, чт за мс джет база данных..

Спасибо откликнувшимся, просто проблема назрела... бывают случаи когда нет доступа на удаленный сервер, а юзер забыл пароль, потерял и тд, и хочет зайти в свой профиль... Вот и хочется узнать где можно увидеть эти пароли..

fluf

  • ***
  • Сообщений: 7245
    • Просмотр профиля
    • http://forum.amur.ru
#4: 23 Апреля 2005, 13:12:06
чт за мс джет база данных..
----------------------
имелось ввиду, то что база данных Active Directory хранится в файлике NTDS.DIT, который имеет формат заточенный под стандартный микрософтовский движок баз данных - Jet Engine. Хотя в любом случае, эта информация представляет только академический интерес, так как прямой доступ к базе AD при запущенной винде блокируется процессом LSASS.EXE.



когда загружаешь клиента без участия сервера, то вводишь пароль .. и загрузка идет без участия
---------------
угу, так как по умолчанию, винда сохраняет атрибуты безопасности последних 10 интерактивно залогонившихся юзеров, дабы обеспечивать возможность локальной аутентификации пользователей при отвалившимся контроллере домена.

RTFM:
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/regentry/58528.asp

удачи.

fluf

  • ***
  • Сообщений: 7245
    • Просмотр профиля
    • http://forum.amur.ru
#5: 23 Апреля 2005, 18:11:56
Вот и хочется узнать где можно увидеть эти пароли..
=============================
еще раз подчеркну - теоритически пароли увидеть НЕЛЬЗЯ.
винда их сама не знает. есть только их хэши (т.е. применение так называемого owf преобразования над оригиналом пароля).

хотя из любого правила есть исключения. политика безопасности в среде winnt может быть серьезно ослаблена использованием LM хэшей, включением EnablePlainTextPassword для SMB, или еще хуже
активацией reversible encryption при работе, например, через RAS/CHAP.

S

  • Гость
#6: 23 Апреля 2005, 19:06:14
то Nomad

 в AD есть такие вещи как сайты (sites) и контроллеры домена (DC)
для группы удаленных компов в домене создается сайт ,
со своим контроллером, когда клиент хочет залогинится
его аутентифицирует ближайший контроллер , поэтому
отсутствие/наличие связи не влияет на возможность логона, можно
заводить пользователей в общем работать вполне прозрачно ,
при этом кстати уменьшается межсайтовый трафик, тоже плюс.
 
когда есть связь контроллеры реплицируют изменения NTDS.DIT,
профили пользователей тоже можно реплицыровать через DFS


Nomad

  • ***
  • Сообщений: 3370
    • Просмотр профиля
#7: 23 Апреля 2005, 21:23:02
Спасибо за объяснение...
Многое не понял, но буду разбираться...
Флаф, у тебя есть аська? Иногда нужен совет очень :) может можно обратиться?

fluf

  • ***
  • Сообщений: 7245
    • Просмотр профиля
    • http://forum.amur.ru
#8: 24 Апреля 2005, 11:30:38
еще добавлю к посту S:
а при реализации аутентификации через классику на NT PDC точно так же создается еще один BDC (backup domain controller) в другом сегменте , который будет реплицировать базу данных пользователей с основного (primary) домена, и обеспечивать аутентификацию юзеров при отсутствии свзязи с основным контролером домена. единственный минус - при работе через BDC база данных будет работать в режиме read only, т.е. репликация только однонаправленная: основной -  резервный.

2nomad: uin 4988804