在中伪造大量密码更改

Question

我正在配置一个Zentyal作为网关。对于代理身份验证，我试图根据Zentyal的文档http://doc.zentyal.org/en/directory.html#configuring-zentyal-as-a-slave-of-windows-active-directory将Zentyal与AD同步

问题是，Zentyar只能在用户的新用户或他们的密码更改时才能同步。

谁知道霍伊，我能做一个巨大的(假的)密码修改，读取一个用户的密码，并重置它使用相同的字符串？或者有一种方法可以让所有的用户密码手工重置？

有人能找到其他解决办法吗？

谢谢

Answer 1

我输入了一段关于更改pwdLastSet属性以欺骗AD，使其认为密码最近被更改的段落。

但这不是你所需要的。应用程序似乎需要的是，一旦在域控制器上安装了密码筛选器，将向应用程序发送密码副本，就需要更改密码。

所以-你要找的是不可能的。用于存储AD密码的密码转换是不可逆的；存储后不能检索该密码。工具可以攻击那些存储的散列，但它们不会可靠地检索所有用户的密码(除非他们都使用弱密码)。另一个选择是使用“可逆加密”模式，除非已经启用了它，否则它不会对您有任何好处。

最好的方法是安装密码筛选器，以便对应用程序进行更新，然后修改组策略密码设置，使所有用户的密码在未来一两周内过期。