एडी सिर्फ एक प्रकार का हैश स्टोर नहीं करता है। जब आप अपना पासवर्ड बदलते हैं, तो डीसी को पासवर्ड का सादा टेक्स्ट संस्करण प्राप्त होता है, इसकी जटिलता जांचता है और फिर एमडी 4, एमडी 5, पीबीकेडीएफ 2 (40 9 6 * एसएचए 1) और कई अन्य प्रकार के हैंश उत्पन्न करता है और स्टोर करता है। ऐसा इसलिए है क्योंकि प्रत्येक प्रमाणीकरण तंत्र (एनटीएलएम, केर्बेरोज, डाइजेस्ट, ...) एक अलग हैश फ़ंक्शन का उपयोग करता है और एडी को उन सभी का समर्थन करने की आवश्यकता होती है।
पासवर्ड एश विशेषताएँ इन एडी विशेषताओं में संग्रहीत हैं: यूनिकोड पीडब्ल्यूडी, डीबीसीएसपीडब्ल्यूडी, एलएमपीडब्ल्यूएचडीआईटी, एनटीपीडब्ल्यूएचआईडीआई और पूरक प्रमाणपत्र। सुरक्षा कारणों से, आप उन्हें एलडीएपी या एडीएसआई के माध्यम से नहीं पढ़ सकते हैं। लेकिन मैं हाल ही में उन्हें पुनः प्राप्त करने के लिए एक रास्ता मिल गया है और एक PowerShell cmdlet ऐसा कर सकते हैं कि बनाया है:
Get-ADReplAccount -SamAccountName John -Domain Contoso -Server LON-DC1
वहाँ भी है एक खराब प्रलेखित तरह से विरासत SAMR protocol के माध्यम से MD4 हैश (उर्फ NT हैश) कार्य केंद्र या ई पुश करने के लिए । चूंकि इस कार्यक्षमता का खुलासा करने वाले कोई अंतर्निहित कमांड नहीं हैं, इसलिए मैंने इसे करने के लिए PowerShell cmdlets भी बनाया है।
एक NT हैश उत्पन्न करने के लिए, तो आप इस PowerShell आदेश का उपयोग कर सकते हैं:
$hash = ConvertTo-NTHash (Read-Host -AsSecureString)
और अंत में, इस आदेश ई NT हैश धक्का:
Set-SamAccountPasswordHash -SamAccountName john -Domain ADATUM -NTHash $hash -Server dc1.adatum.com
इन आदेशों विस्थापित करने के लिए इस्तेमाल किया जा सकता स्थानीय और डोमेन खातों या एडी और सांबा के बीच पासवर्ड। लेकिन सावधान रहें, केर्बेरोज-एईएस और डब्ल्यूडिजिस्ट प्रमाणीकरण इस खाते, केवल एनटीएलएम और केर्बेरोज-आरसी 4 के साथ काम नहीं करेगा।
स्रोत
2015-08-05 06:24:22