【发布时间】:2010-09-16 13:35:00
【问题描述】:
如果密码以可逆加密方式存储在 Active Directory 中,管理员/开发人员如何提取和解密此密码?
具体来说,我指的是this设置。
【问题讨论】:
-
这个问题属于serverfault。
标签: windows active-directory passwords encryption
【发布时间】:2010-09-16 13:35:00
【问题描述】:
以下系列博文解释了一些细节:
Passwords stored using reversible encryption: how it works (part 1)
Passwords stored using reversible encryption: how it works (part 2)
此博客的作者 Niels Teusink 还提供了他的工具 RevDump 的源代码可供下载。
不言而喻,可逆加密不应该在全球范围内使用,并且只能在非常特殊的情况下使用。
【讨论】:
虽然 Dirk 的回答是正确的,但 RevDump 工具仅适用于 Windows Server 2003,因为较新版本的 Windows 将可逆加密的密码存储在 different way 中。因此,我创建了一个支持 Windows Server 2008+ 的新 tool。
最简单的用法示例:
Get-ADReplAccount -SamAccountName April -Domain Adatum -Server LON-DC1
样本输出(部分):
DistinguishedName: CN=April Reagan,OU=IT,DC=Adatum,DC=com
Sid: S-1-5-21-3180365339-800773672-3767752645-1375
SamAccountName: April
SamAccountType: User
NTHash: 92937945b518814341de3f726500d4ff
SupplementalCredentials:
ClearText: Pa$$w0rd
【讨论】: