» Пароли пользователей в Active Directory

Уважаемый форум. Есть ли где-нибудь решение моей задачи? Нужна програмуля или что-то наподобие, чтобы можно было просмотреть пароли пользователей в моем домене типа:
------------
Вася Иванов - 1й2ц3у4к
Петя Сидоров - userloh
И т.п.
Пасиба

Для начала надо хранить пароль используя обратимое шифрование

Цитата:

Для начала надо хранить пароль используя обратимое шифрование

сорри, но при таком хранении и пользователи смогут при наличии желания смотреть пароль админа

DeniTornado

Цитата:

Есть ли где-нибудь решение моей задачи? Нужна програмуля или что-то наподобие, чтобы можно было просмотреть пароли пользователей в моем домене типа:

А зачем тебе смотреть пароли пользователей? Какова цель?

Цель? 1) Цель чтобы юзер не узнал о моих действиях на его компе в домене (некую задачу поставило руководство, задача решаема, но т.к. юзер прошаренный нельзя чтобы он знал что я там что-то делал), т.к. в окне сохраняется кто последний входил в систему. А зная его пароль - зайду под его аккаунтом, сделаю что надо и все
2) Просто на будущее не бегать за юзером, чтобы узнать его пароль

DeniTornado
что ты собрался делать под учётной записью пользователя, чего нельзя сделать учётной записью администратора?

Цитата:

некую задачу поставило руководство, задача решаема, но т.к. юзер прошаренный нельзя чтобы он знал что я там что-то делал

в шпионов играете? если руководство поставило задачу, то тебе глубоко всё равно, узнает пользователь или нет.

можешь более подробно описать, что нужно сделать, может и иные способы есть.

DeniTornado
1). Для этого пароль знать не обязательно. Можно сбросить старый, установить новый, зайти, а потом потребовать (не устно или письменно ), чтобы пользователь сменил свой (точнее уже не свой) пароль при следующем логоне.
2). Не нужно знать пароль, и тем более бегать за юзверем, т.к. ты в любой момент можешь его пароль поменять.

да это все понятно что я могу все сбрасывать и потом принудительно требовать от юзера смену пароля. Задача втюхать юзеру Radmina (это я уже знаю как - сделал батник со всеми нужными причиндалами), чтобы руководство видело чем тот занимается, т.к. не совсем его действия по работе. Хочу чтобы он не видел что за его ПК вообще я был! Поэтому хочу под его учеткой зайти, т.к. она у него тоже локальный админ. Вот что мне надо!

Домен есть? Если есть, то все проще чем ты думаешь.
Программа называется dameware.
Хотя... даже если нет домена, то она тоже поможет. Надо только позаводить на машинах юзеров одинаковую пару логин пароль с правами админа.

Алгоритм такой. На компе админа, указываешь параметры пользователя с достаточными правами для удаленной машины. Говоришь какая машина. И готово. Ни куда ходить не надо и пароли чужие узнавать тоже не надо.

DeniTornado
Radmin можно установить:
1. удалённо
2. зайти под своей учёткой и установить.

Зачем же заходить на его комп под его учёткой?

ЗЫ. А вообще юзверь должен знать и подписаться, что его комп будет просматриваться по мере необходимости. А если он не подписался и не осведомлён о том, что за ним могут подглядывать (и при этом иконка радмина скрыта), то ты нарушаешь его права даже не смотря на то, что он на работе должен работу работать. Поэтому вокруг скрытия иконки Radmin 3 было столько разговоров.

niichavo


Цитата:

А если он не подписался и не осведомлён о том, что за ним могут подглядывать (и при этом иконка радмина скрыта), то ты нарушаешь его права

О_О Это где такое написано???? Бредятина. Это компьютер фирмы. И она вольна устанавливать на него любое ПО.

FreemanRU

Цитата:

Это компьютер фирмы. И она вольна устанавливать на него любое ПО

С этим не спорю. А вот следить и чтоб об этом пользователь не знал - не есть бред. Сужу по тому, что сказал юрист. А свободы чела заканчиваются там, где начинается работа, так что-ли?

DeniTornado Ставишь Hyena, прога для работы с доменом на рабочей станции, ставишь из-под нее VNC на тачки в домене, например Tightvnc (бесплатная). Юзер ничего не увидит и в логах ничего не будет. Можно и без гиены обойтись, скопировав на тачку нужные файлы, занести в реестр нужные записи и зарегить службу. С гиеной проще и удобнее. И пароль юзера знать не нужно, будешь работать с правами админа домена.

Пасиба погляжу

niichavo

Цитата:

А вообще юзверь должен знать и подписаться, что его комп будет просматриваться по мере необходимости.

Комп не его. Комп чужой, работодателя. И если даже комп личный юзеровский (что иногда бывает), то он имеет физический доступ в сеть фирмы и/или на нем обрабатывается информация, принадлежащая фирме, т.е. комп автоматически становится компом фирмы. Это же элементарные вещи...


Цитата:

А свободы чела заканчиваются там, где начинается работа, так что-ли?

Именно, если эти свободы подразумевают сидение в чатах, форумах, порносайтах, ютубах, одноклассниках, вконтактах, загаживании компов фирмы, разнос всякой заразы и т.п.


Цитата:

А вот следить и чтоб об этом пользователь не знал - не есть бред.

Доказательства своих слов предоставь, плиз. Интересно будет почитать...

veryom

Эээх. Оффтоп пошёл. Ну, понеслась!

Всё то ты правильно говоришь. И я с тобой полностью согласен. Раз комп на работе, он предназначен для работы. Точка. ... Вообще есть много удивительных вещей. Например, колонки или магнитофон на работу принёс - то, если по хорошему, ставь на баланс. Это теперь какое-никакое, а орудие труда (это опять-таки со слов бухгалтерии) ...

Цитата:

Доказательства своих слов предоставь, плиз. Интересно будет почитать

Увы или ах, но у меня нет доказательств. Я общался с юристом, который мне такое и выдал.

Если рассмотреть ситуацию формально, то, вроде, никаких нарушений прав быть не может, если пользователь подписал бумагу при приёме на работу, в которой чётко написано, что он может делать на рабочем компе. Т.е. пользоваться теми программами, которые установит ему, например, админ; использовать интернет только для целей связанных с работой. А всё что не разрешено - запрещено. И если эти условия соблюдаются - то всё замечательно.

Но вот много ли таких бумаг предлагают подписывать перед поступлением? Интересно, насколько много организаций РЕАЛЬНО ограничивают использование личной почты сотрудника? Да это почти нереально, учитывая количество почтовых сайтов! А доступ по http, естессьна, не отрубается. Ну так вот, я думаю, что пока эта практика не так уж распространена. Всё решается устно какбэ. А если такой бумаги нет, то как только пользователь начинает использовать комп для личных целей (аська, личная почта), то использование программ типа Radmin нарушает его право на тайну переписки и, соотвественно, личной жизни (п. 1 ст. 23 Конституции РФ). Также будет преступлением, если работодатель обнародует эти сведенья (п. 2 ст. 23 Конституции и ст. 138 УК РФ).

Но даже если есть бумага, где комп нужно использовать только для работы и был факт нарушение пользователем, то даже это (есть такие мнения) не освобождает работодателя от уголовной ответственности. Вопрос очень тонкий, как зарегистрировать нарушение пользователем правил и при этом не перейти закон, не нарушить право на личную жизнь.

Ничего конкретно почитать нельзя (законы вроде те же), кроме мнений юристов и не юристов. Закон как дышло ...

Если ты администратор, не проще ли самому выдавать пароли пользователям? дал человеку логин и пароль, забил их себе (в файл, блокнот, телефон, БД) и при необходимости входи под его паролем... А уж как как ты будешь хранить эти пароли у себя - вариантов масса. Мне вот от старого админа по наследству такой блокнот достался - довольно удобно, знаете ли...

Цитата:

их себе (в файл, блокнот, телефон, БД) и при необходимости входи под его паролем... А уж как как ты будешь хранить эти пароли у себя - вариантов масса. Мне вот от старого админа по наследству такой блокнот дос

Цитата:

дал человеку логин и пароль, забил их себе (в файл...

Пользователь пароль может (и должен) менять.

niichavo

Цитата:

использование программ типа Radmin нарушает его право на тайну переписки

ГЫ. Очередной развод! НИЧЕГО это программа не нарушает. Это лишь инструмент.
Твой юрист нифига не понимает в ПО. Он путает прослушку и видеонаблюдение (которые действительно требуют оповещения) и программы для "удаленного управление", это её официальное название. Он сможет доказать, что я не управляю компом, а слежу за пользователем? НЕТ. Н И К О Г Д А.

А еще есть такая штука - коммерческая тайна. На любой фирме есть такая бумажка. И пользователь ЗАИПЁТСЯ доказывать, что не передавал в асе, почте и пр. коммерческую тайну. Н-р сказал жене, что у них седня у коллеги ДР - всё, разглашение коммерческой тайны на лицо.


Цитата:

насколько много организаций РЕАЛЬНО ограничивают использование личной почты сотрудника

ОЧЕНЬ много. И очень многие её перилюстрируют. И асю, и джаббера и любые общалки. И режут однокласников. И анализируют HTTP-трафик.


Цитата:

Да это почти нереально, учитывая количество почтовых сайтов

Не так уж и много. И есть списки этих сайтов. Плюс есть анализаторы трафика, которые с 90% вероятностью отрубают доступ к таким сайтам. Здесь сильно зависит от рук админа.


Цитата:

не нарушить право на личную жизнь

Нету у пользователя права на личную жизнь за компом. Просто нету. Это связано с тем, что компьютер, ОС, программы и просто информация - это СОБСТВЕННОСТЬ компании. Отосланный байт в сеть - тоже СОБСТВЕННОСТЬ компании.

А юристы не понимают этого. Для них комп - это просто коробка. А программа - "ну просто запустил и всё, что тут такого". Нет законодательной базы для ПО и софта в России.
Для примера в забугорье ЛЮБОЕ сообщение, с использованием любых средств передачи, отосланное с работы является ДОКУМЕНТОМ. Имеет юридическую силу в суде. И ОБЯЗАНО храниться 15 лет. Вот так.

у нас на работе все просто :
издан приказ где говорится что администраторы имеют право устанавливать программы для слежения и управления за компьютером и документами
и все ознакомлены под роспись что они согласны))))

В части "cлежки" за пользователем.

Если говорить с позиции действующего законодательства, то на предприятии должен быть совершенно отдельный локальный акт (например, Положение), в котором черным по белому сказано, что любая информация, которая создается, обрабатывается, передается и т.п. на/с территории компании - является собственностью компании. Содержание этого документа должно быть доведено до всех сотрудников под подпись.

В отношении своей собственности, компания правомочна устанавливать по своему усмотрению режим охраны и управления, в т.ч. играть в Радминов или следить за посещениями порно-сайтов Петей.

Во всех других случаях слежка за пользователем (включая аудит трафика, где есть момент персонификации) - незаконна.

Суду будет совершенно насрать на все ваши глубокомудрственные измышления о том, что де пользователь не имеет права на личную жизнь на рабочем месте. Он имеет, пока это право не изъято в установленном законом порядке и пока его не уведомят об этом надлежащим образом.

emx

Цитата:

В части "cлежки" за пользователем.

Цитата:

Во всех других случаях слежка за пользователем...

А факт слежки в суде как-то доказывается или принимается за должное, что любое подключение, допустим по RDP, к компьютеру пользователя уже есть слежка? Различаются ли с юридической точки зрения понятия удаленного управления и аудита действий пользователя (слежки)?

мне вот тоже интересно на самом деле можно ли как-то узнать пароль пользователей? Есть ли Реальные варианты???

Есть проги которые простым перебором вскрывают пароль на XP, сам когда-то ради интереса пробовал. Простые пароли вскрывает довольно легко, а правильные не по зубам. Но это вопрос времени. Можно установить какой-нибудь кейлогер. Но в данном случае совсем не обязательно их и знать. На сайте radmina в faq прописана прцедура удаленной установки. Работает на ура. Остаеться этическая проблема, но это каждый решает для себя.

emx
По твоему получается антивирусное ПО - тоже незаконно.
Я знаю твою юридическую подкованность, но согласись, доказать факт слежки с помощью радмина крайне затруднительно.

Andym27

Цитата:

На сайте radmina в faq прописана прцедура удаленной установки. Работает на ура. Остаеться этическая проблема, но это каждый решает для себя.

Ты увидел этическую проблему в установке radmin'а? Оригинально. Кстати, на средствах удаленного управления свет клином-то не сошелся. С такой точки зрения, опасаясь "этических проблем", нельзя администрировать компьютер даже при стоящем за спиной пользователе. А вдруг девчонки?

Жжете, господа... Работа админа в смысле сохранения тайн пользователя сродни работе врача или юриста. Возникают ли на этапе лечения "этические проблемы" у врача? Нет. Они возникнут, если этот врач будет рассказывать в баре о проблемах своих пациентов. Точно так же с админом. Никаких "этических проблем" не возникает при администрировании. Но если админ начнет трепаться о том, что увидел у пользователя, вот тогда, да, проблемы есть. И прошу заметить, "этические проблемы" возникают не из-за установки какого-либо средства удаленного управления, а из-за непорядочности человека. Другой вопрос, если считать всех потенциально непорядочными. Ну, тогда остается уехать в скит, где-нибудь в Сибири, и молиться о грешных непорядочных админах, у которых возникают "этические проблемы".

veryom

Цитата:

А факт слежки в суде как-то доказывается или принимается за должное,

Смотря какой процесс.


Цитата:

Различаются ли с юридической точки зрения понятия удаленного управления и аудита действий пользователя (слежки)?

Сторонам придется объяснять разницу суду. На чью сторону он встанет - прогнозировать непросто.

Я более другого не понимаю. Зачем копаться в процессуальных моментах, если можно легко и просто упредить этот риск? Вернее, скажем иначе, зачем оставлять возможность взять при определенных обстоятельствах себя за задницу?
Это в равной степени относится к удаленному управлению, аудиту использования ресурсов предприятия и даже к вопросам создания, хранения и перемещения резервных копий всяческих баз (персональные данные, комм. тайна, yuh).

FreemanRU

Цитата:

По твоему получается антивирусное ПО - тоже незаконно.

Неверная аналогия. Также как нельзя обвинить маршрутизатор в том, что он прокачивает чьи-то данные.

Согласен полностью с "veryom"

lc4, lc5
За ночь перебором пароли подбирают. Если сам файл утащишь, то вообще никаких проблем.
У меня как-то сисадмин (который был до меня, потом немного со мной) забыл пароль администратора. Он его в секретную базу записал, при этом еще каким-то способом зашифровал. Но вот - ошибся. Пришлось диск вынимать и сам файл вытаскивать. На ночь оставил - утром пароль был.

Вообще по теме кто то что то скажет?
Тематика вроде не каслась в начале етики. Я так понял, что поскольку никто не знает ответа то перешли к обсуждению насколько это етично?!


Как на счет варианта. Сделать копию базы АД с паролями, потом поменять пароль пользователя, сделать все что требуэтся, и откатить базу паролей АД назад?!