[XP\WIN2k3] Cached Credentials resetten

doe een authorative restore op de active directory.

zie:
http://www.computerperfor...authoritative_restore.htm

dit werkt echter alleen als je meerdere DC's hebt en natuurlijk een backup hebt van de AD wanneer hij nog niet verwijderd was.


echter: moet je bij de gegevens (lees documenten, etc) van de gebruiker in kwestie. kun je dan niet gewoon als administrator inloggen en de map c:\documents and settings\<$gebruiker$> een take ownership doen ?

Leuke vraag en het wellicht mogelijk ook nog...

- Log in op betreffende PC.
- kopieer het profiel naar de server; die dit via Configuratiescherm - System - enz (heel belangrijk ivm sid enzo)
- log uit
- Maak een nieuwe gebruiker aan (of makkelijker nog: een test user)
- Stel in de eigenschappen van deze gebruiker in de AD het pad naar het gecopieerde profiel in (in principe kun je een heel bedrijf met 1 default profiel laten werken met deze methode!)
- Login met het betreffende (test)account

Theoretisch gezien zou dit moeten werken...

Bij een opdrachtgever van me werken ca 1700 gebruikers met maar 1 profiel, vandaar dat ik denk dat bovenstaande best wel eens zou kunnen werken.

heb je ook geprobeerd zijn profiel te " exporteren " ?

dus naar systeemeigenschappen gaan, geavanceerd, profielen, dan profiel kopieeren en de volgende user rechten geven ( \Everyone of \Iedereen )

een nieuwe user aanmaken op de AD. inloggen. dan herstarten dan inloggen administrator. de inhoud van de gekopieerde profiel kopieeren naar de zojuist aangemaakte profiel en dan afmelden en weer inloggen als de zojuist opnieuw aangemaakte user.

let op: dit wil niet altijd. maar soms wil het lukken.


ja hoor.. iemand was me net te snel af

[ Voor 4% gewijzigd door nIghtorius op 30-04-2009 09:24 . Reden: sjit ]

Hoeveel Users zijn naderhand nog aangelogged op die werkplek?

Standaard worden er nl. slechts 10 credentials "gecached" op een werkplek.

De uitdaging zit er volgens mij in dat je de SID van de oude user, om het zo maar even te noemen, gekoppeld moet krijgen aan de nieuwe user, die je aanmaakt met dezelfde username. Want iedere user, maakt niet uit of de naam hetzelfde is, krijgt een andere SID in het OS. Users die je verwijdert verliezen ook hun SID en worden zelf opgeruimt door de Active Directory

Je kunt niet twee users dezelfde SID geven, dat geeft gewoon problemen in je netwerk.

Er is wel een SIDTONAME tool die SID naar username kan vertalen, maar daarvoor moet je die user wel actief zijn de in de Active Directory.

Ik heb even via mijn Technet Abbo met mij iemand van Microsoft zitten chatten en die wees me op dit artikel:
How to restore deleted user accounts and their group memberships in Active Directory.

Dan is het de vraag of die teruggezete verwijderde users zijn oude sid terugkrijgt
Misschien zou je dit kunnen proberen en kijken of de user alles krijgt wat hij voorheen had?

[ Voor 33% gewijzigd door Turdie op 01-05-2009 01:09 ]

Als je een restore uitvoerd krijgt het object gewoon zijn "oude" SID terug. Da's geen probleem.

Topicstarter gaat alleen tegen het probleem aanlopen dat het useraccount vorig jaar al verwijderd is, en da's langer dan de default thombstone lifetime (van 60 dagen). Een restore lijkt dus niet mogelijk

Restore Requirements and Recommendations

The tombstone lifetime value in an Active Directory forest defines the default number of days that a domain controller preserves knowledge of deleted objects. This value also defines the useful life of a system state backup that is used for disaster recovery or installation from backup media. Active Directory protects itself from restoring data that is older than the tombstone lifetime by disallowing the restore.

Introduction to Administering Active Directory Backup and Restore

Volgens MS bestaan er wel Tools om de "cached verifier" te overschrijven om zo lokaal als het useraccount aan te loggen, getuige:

Regardless of what encryption algorithm is used to encrypt the password verifier, a password verifier can be overwritten so that an attacker can authenticate as the user to whom the verifier belongs. Therefore, the administrator's password may be overwritten. This procedure requires physical access to the computer. Utilities exist that can help overwrite the cached verifier. By using one of these utilities, an attacker can authenticate by using the overwritten value.

Cached credentials security in Windows Server 2003, in Windows XP, and in Windows 2000

Het is uiteraard veel eenvoudiger om gewoon even het profiel te exporten en deze aan een andere gebruiker te koppelen.