我经常需要使用用户的域帐户登录以确保我已正确设置他们的个人资料,但除了打电话给他们并给他们临时通行证并强迫他们更改它(不好,因为他们经常忘记它)或询问他们的密码(更糟糕的是)之外,没有简单的方法可以做到这一点。
有没有办法更改用户密码,然后稍后将其恢复为原始密码?我尝试查看是否有办法获取 NTLM 哈希,以便稍后将其恢复,但 AD 中似乎没有内置此功能。
答案1
在 Windows XP 中,右键单击My Computer
图标并选择Properties
。在打开的对话框中,选择Advanced
选项卡。现在将有一个User Profiles
按钮。单击该按钮,您应该能够从列表中选择您的用户配置文件。单击按钮Copy To
。在打开的对话框中,有一个选项可以授予其他人登录配置文件的权限。您必须来回复制几次,并且您需要拥有两个用户帐户,但您可以使用它来调整用户的配置文件,而无需知道他们的密码。
首先,将其他用户的配置文件复制到您的备用用户帐户将使用的文件夹中,注意授予该帐户登录配置文件的权限。使用该帐户登录并对该配置文件执行任何您想执行的操作。然后,使用您的原始帐户重新登录并删除该用户的原始配置文件。现在将您的备用帐户更改的配置文件复制回其原始位置,注意再次授予原始用户访问该配置文件的权限。
如果这是针对新的计算机设置,原始用户从未登录过,则您可以将配置良好的配置文件复制到默认配置文件上。
值得注意的是,这个答案只有在你标记了问题时才有用windows-xp
。该过程不再适用于 Windows 7,因为有些注册表设置无法通过复制配置文件过程很好地处理。微软没有更新复制配置文件过程,而是选择简单地禁用“复制”按钮。你可以找到一些黑客来重新启用它,但没有一个可以解决按钮被禁用的原因,所以应该避免使用它们。
答案2
如果不恢复 AD 对象,您就无法恢复以前的密码(而且这对于日常使用来说并不明显也不实用)。
您可以多次强制输入临时密码(确切地说是“记住的密码次数”),以便用户可以将密码更改为更改之前使用的值。我认为如果“记住的密码次数”很高,您可以使用脚本来执行此操作。
这样,您就不必知道他的密码,他也不会忘记他的“新”密码。但您仍然需要打电话告诉他他的“临时”密码。
批量:
FOR /L %B IN (1,1,<num>) DO NET USER <user> <tmppassword> /DOMAIN
其中,<num>
是 AD 组策略中记住的密码数量,<user>
是用户名(Windows 2000 之前的版本),<tmppassword>
是给予用户的临时密码。