NL ->

Printable Version of Topic
Click here to view this topic in its original format

Forums > Глюкодром > Reset Password, Domain Users Data

Posted by: ego on 14-04-2005, 05:36

У меня есть вопрос к нашим системным администраторам

Ситуация:
юзер забыл свой пароль,я сбрасываю пароль и даю ему новый с опцией при следующем логоне изменить.
Юзер заходит с новым пассом и выясняет что он не имеет доступа к зашифрованым файлам,мылу и инету.
Я так понял что так и будет в этом случае.Что нужно делать?
1)Воспользоваться Recovery Agent который имеет администратор для разшифровки файлов передачи владения файлами юзеру?
2)А как же тогда с SID,он что тут роли не играет?
3)или есть еще какие то решения?
4)Или я что то не правильно понял?

Posted by: FiL on 14-04-2005, 08:07

A с чего вдруг юзер после смены пароля потерял доступ к зашифрованным файлам?
Шифруется-то не паролем, а ключом. Ключ остался. Юзер тот-же. Имеет доступ к ключу. Значит должен иметь доступ к файлам.

А при чем тут SID я вообще не понял.

Posted by: ego on 14-04-2005, 16:01

FiL да чето в книге тут написано,я сам чет не вьехал пасс не должен влият вроде.сид это ж вроде и есть определение кто этот юзер такой в АД?
When to rest User Password

Consequences of reseting Passwords

After a user's password is reset ,some types of information are no longer accessible,including the following:

e-mail that is encripted with the user's public key
internet passwords that are saved on the computer
files that the user has encripted

Ну и как это понять??Это с книги мелкомягких,хотя ниже поишется типа такое

for more inf. about resetting a domain controller acccount and resetting a computer account see with a sckript see.....

Короче они меня в конец запутали

Posted by: FiL on 14-04-2005, 17:26

Хер знает... я теоретизирую, сам енкриптить файло не пробовал.

SID - Server ID. К юзеру отношению не имеет. Это идентификатор компа.

Posted by: ego on 14-04-2005, 21:49

спросил у учителя,такая бодяга имеет место быть при reseting Passwords с локальными файлами что то связанное с ключами на локальной машине,я потом разберусь конкретно по этой части.Тут надо пользоваться рековери агентом для передачи прав юзеру.

SID Security Identifier

вот в книге нарыл

Each time that a computer OR USER account is created in a domain or on a local computer,it is assigned a unique security identifier (SID) In network running XP and 2003 ,operating system internal process refer an account's SID rather than to the account's user or group name

Each directory object or resource, is protected by Access control entries (ACEs) that identify which users or groups can gain access to that object.An ACE is created for an object by granting permissions to a shared resource .each ACE contains the SID of each user or group who has permissions to gain access to that object and defines what level of access is allowed .For example ,a user might have read only access to one set of files.....

вот еще что то близкое http://support.microsoft.com/default.aspx?scid=kb;en-us;290260 (http://support.microsoft.com/default.aspx?scid=kb;en-us;290260

я помня такое и предположил что сид имеет какоето отношение

Posted by: FiL on 15-04-2005, 00:54

странно... прочитал и не понял ничего. Угадал все буквы и не смог прочитать слово. Может надо выпить?

Но ведь я точно помню, что SID где-то был id'ом сервера. Вот где? Может надо меньше пить?

а с криптованием там все как-то сложно. я столько не выпью

Posted by: ego on 15-04-2005, 01:28

текст конкретно с учебника перепечатан.да я тоже заметил что самые тяжелые темы там вот такая вот каша как будто спецом

если есть желание разобраться я допечатаю потому как это только начало ну и перевести сообща и понять можно попытаться

вот продолжение

When a user that has a valid user name and password logs on locally,the user accounts
credentials are checked against the the local SAM ,the account is authenticated,and recieves an access token.When a user on the same computer logs on to a domain,the user's credentials are authenticated through AD.When the user then attempts to gain access to any resource,the users account's SID is used to verify permissions....

Posted by: retro on 23-04-2005, 07:42

Хмм... Пришлось с таким столкнуться буквально пару-тройку дней назад.
Один придурок зашифровал все свои документы (около 4гб) на диске Д, а потом переустановил винду, свято полагая, что раз он трогает только С, то с Д ничего не произойдет, и самое главное, "он знал пароль" © - то бишь несколько иная ситуация, но с одинаковым результатом. Точнее, нулевым...
Что известно:
1. Защищенный файл шифруется по алгоритму AES с длиной ключа 256 бит.
2. Ключ генерируется псевдо случайным образом при создании файла и хранится вместе с ним в метаданных файловой системы NTFS.
3. Сам ключ также зашифрован с помощью криптографии с открытым ключем. При этом используется алгоритм RSA с длиной ключа 1024 бита. При шифровании используется открытый ключ, соответственно для расшифровки нужен закрытый ключ.
4. По поводу закрытого ключа мне известно только то, что он хранится в некоем защищенном хранилище ключей... Что еще... Самое главное:
алгоритм (DESX / AES) с ключом унаследованном от пары логин / пароль (последнее точно при смене пароля private ключ перешифруется).

Posted by: retro on 23-04-2005, 07:54

Что может быть полезным для понимания и решения (опционально

) проблемы:

Windows Data Protection (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/windataprotection-dpapi.asp

Key Archival and Management in Windows Server 2003 (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kyacws03.mspx

Windows XP Professional SP2 - Maintain (http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/default.mspx

Best practices for the Encrypting File System (http://support.microsoft.com/?id=223316

И, конечно же, EFS Recovery (http://www.beginningtoseethelight.org/efsrecovery/index.php

Posted by: retro on 23-04-2005, 08:44

Очень хорошие ресурсы на русском - разумеется, выпить надо, оно никогда не помешает... вот, берешь пивка (для начала), садишься поудобнее, и читаешь, читаешь и еще раз читаешь... Как ящик добьешь, так все в голове и прояснится.

Использование SQL Server совместно с Encrypting File System (EFS) - детальное об'яснение механизма шифрования (http://www.sql.ru/articles/mssql/03013001ImplementingEFSwithSQLServer.shtml/

У меня есть очень хороший перевод статьи (той, что я давал выше) по восстановлению файлов, но разместить его на сайте пока не могу - никак не получается выловить автора и взять разрешение. Но материала и так с лихвой хватит для детального изучения.

Posted by: ego on 23-04-2005, 09:23

retro спасибо