Сергей Петров
Заглянувший
Сообщений: 1
Регистрация: 15.04.2013
#1
15.04.2013 11:55:41
Не могу понять в чём проблема, на всех компах, где стоит семёрка, всё ок, восьмёрка упорно не хочит запоминать, хотя галочку «запомнить учётные данные» ставлю.
За хранение пароля к сетевым папкам отвечает не только установленная галка в окне обращения к компу, но еще и политика безопасности.
В панели управления на клиенте с семеркой нужно зайти
в Администрирование, там будет
Локальная политика безопасности (для редакций Pro и Ultimate). Путь к нужной политике следующий:
Сама политика может называться
либо
Скорее всего, в семерке есть именно второй вариант, а первого нет, но сути это не меняет.
Нужно включить эту политику (по умолчанию она может быть и выключена, а пароли все равно слетают), затем применить ее командой gpupdate /force из командной строки. Когда команда выполнится, нужно теперь выключить эту политику и снова форсированно применить настройки той же командой из консоли.
Теперь попробовать снова вбить пароль к сетевой папке с сохранением, затем перезагрузить клиентский комп и проверить доступ.
-
#1
Добрый день уважаемые пользователи NAS. И я что то не совсем уверен что это я сюда написал, но это касается системы Freenas. Получается так, что если создаешь, например, две папки под двух разных пользователей, то когда введешь пароль для одного пользователя он где то сохраняется и когда пытаешься войти в папку другого пользователя он или не входит (если предыдущему пользователю был запрещен просмотр) или входит но не дает ничего сделать. Ну это понятною.. потому что нет прав.. Но вот заново он пароль для новой папки не запрашивает… а это не очень удобно.. потому что приходиться выйти из учетной записи и заново зайти чтобы получить доступ ко второй папке с новым паролем.
Кто то пытался это исправить.. или есть ли какой нибудь другой способ .. чтобы он постоянно запрашивал пароли к сетевым папкам.
-
#2
Добрый день !
Я так понимаю, Вы пытаетесь это сделать из под Windows по протоколу SMB.
Используйте монтирование дисков —
Code:
net use <имя устройства> <путь к сетевой директории> * /User:<имя пользователя>
справка —
-
#3
Ну ничего не поменялось.. Диск монтируется, пароль нигде не сохранен.. когда первый раз (после перезагрузки) заходишь он запрашивает Логин и Пароль на сетевой диск… после как ты закрыл окно и его опять открываешь он уже пароль не запрашивает и спокойно туда залетает.. Может быть где то есть время сессии которое можно выкрутить до минимума… которая держит в памяти эти пароли входа в сетевые папки.
-
#4
По моему это кэширование паролей в винде
-
#5
По моему это кэширование паролей в винде
Я тоже так думаю… Но вот где это все можно отключить.. не могу никак найти.
-
#6
Без домена AD у вас путнего ничего не получится.
Можно отключить кэш совсем, но тогда каждый раз придется вводить логин/пароль.
Хранилище паролей Windows на один хост будет запоминать только один пароль, тот который введен первым.
Запомненные пароли вы можете посмотреть в оснастке «control userpasswords2».
-
#7
Вобщем такой вариант нашел. Может кому понадобиться. Вариант для Windows 10.
1. Отключаем сохранение паролей в локальных политиках
Code:
Пуск - Выполнить - secpol.msc - Локальные политики - Параметры безопасности - Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности - Включить
2. Нужно создать скрипт с указанием ваших сетевых хранилищ и поместить его в планировщик на выполнение раз в минуту или две.
Code:
Set objShell = Wscript.CreateObject("Wscript.Shell")
CMDLine = "net use \\server /delete"
objShell.Run CMDLine , 0, false
net use срабатывает.. но не сразу.. после ее выполнения должно пройти от 30 до 60 секунд до сброса пароля. От чего это зависит .. я не знаю ))) Но эта схема работает. Всем спасибо за помощь.
-
#8
Без домена AD у вас путнего ничего не получится.
почему ? что можно сделать такого доменом, что нельзя сделать локальными политиками ?
Можно отключить кэш совсем, но тогда каждый раз придется вводить логин/пароль.
Так в принципе это и требовалось.
Хранилище паролей Windows на один хост будет запоминать только один пароль, тот который введен первым.
Ну да.. оно так и работает.. а способ который я описАл выше очищает пароль из кеша в течении минуты
-
#9
почему ? что можно сделать такого доменом, что нельзя сделать локальными политиками ?
Потому что когда используется AD DS локальное хранилище не используется.Как и локальные учетные записи.Я еще есть DFS.
-
#10
Нашел еще вот такую статью.. Если кому интересно. Там тоже описано про кеширование паролей.
Диспетчер учетных данных Windows (Credential Manager) позволяет безопасно хранить учетные записи и пароля для доступа к сетевым ресурсам, веб сайтам и приложениям. Благодаря сохраненным в Credential Manager паролям вы можете подключаться без ввода пароля к сетевым ресурсам, которые поддерживаются проверку подлинности Windows (NTLM или Kerbersos), аутентификацию по сертификату, или базовую проверку подлинности.
Содержание:
- Используем диспетчер учетных данных Windows для хранения паролей
- Управление сохраненными учетными данными Windows из командной строки
- Доступ к менеджеру учетных данных Windows из PowerShell
Используем диспетчер учетных данных Windows для хранения паролей
Диспетчер учетных данных встроен в Windows и позволяет безопасно хранить три типа учетных данных:
- Учетные данные Windows (Windows Credentials) — учетные данные доступа к ресурсам, которые поддерживаются Windows аутентификацию (NTLM или Kerbersos). Это могут быть данные для подключения сетевых дисков или общим SMB папкам, NAS устройствам, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих проверку подлинности Windows и т.д;
- Учетные данные сертификатов (Certificate-Based Credentials) – используются для доступа к ресурсам с помощью сертификатов (из секции Personal в Certificate Manager);
- Общие учетные данные (Generic Credentials) – хранит учетные данные для доступа к сторонним приложениям, совместимым с Credential Manager и поддерживающим Basic аутентификацию;
- Учетные данные для интернета (Web Credentials) – сохранённые пароли в браузерах Edge и Internet Explorer, приложениях Microsoft (MS Office, Teams, Outlook, Skype и т.д).
Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.
Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).
Открыть диспетчер учетных данных в Windows можно:
- из классической панели управления (Control Panel\User Accounts\Credential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных);
- изкоманднойстроки:
control /name Microsoft.CredentialManager
На скриншоте видно, что в Credential Manager хранятся два пароля, которые мы сохранили ранее.
Сохраненный пароль для RDP подключения сохраняется в формате
TERMSRV\hostname
.
Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль в открытом виде из графического интерфейса нельзя) или удалить любую из записей.
Для управления сохраненными паролями можно использовать классический диалоговый интерфейс Stored User Names and Password. Для его запуска выполните команду:
rundll32.exe keymgr.dll,KRShowKeyMgr
Здесь вы также можете управлять сохраненными учетными данными, а также выполнить резервное копирование и восстановление записей в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).
Управление сохраненными учетными данными Windows из командной строки
Вы можете добавить удалить и вывести сохраненные учетные данных в Credentil Manager из командной строки с помощью утилиты cmdkey.
Добавить в диспетчер учетные данные для доступа к серверу FS01:
cmdkey /add:FS01 /user:kbuldogov /pass:Passw0rdd1
Если нужно сохранить доменную учетную запись:
cmdkey /add:fs01.winitpro.local /user:[email protected] /pass:Passw0rdd1
Сохранить учетные данные для доступа к RDP/RDS серверу:
cmdkey /generic:termsrv/MSKRDS1 /user:kbuldogov /pass:Passw0rdd1
Вывести список сохраненных учетных данных:
cmdkey /list
Вывести список хранимых учетных данных для указанного компьютера:
cmdkey /list:fs01.winitpro.local
Удалить ранее сохраненные учетные данные:
cmdkey /delete:FS01
Удалить из Credential Manager все сохраненные пароли для RDP доступа:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
Полностью очистить пароли в Credential Manager:
for /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr Target') do cmdkey /delete %H
Также для управления сохраненными учетными данными можно использовать утилиту vaultcmd.Вывести список сохраненных учетных данных типа Windows Credentials:
vaultcmd /listcreds:"Windows Credentials"
Все сохраненные пароли хранятся в защищенном хранилище Windows Vault. Путь к хранилищу можно получить с помощью команды:
vaultcmd /list
По умолчанию это
%userprofile%\AppData\Local\Microsoft\Vault
. Ключ шифрования хранится в файле Policy.vpol. Клю шифровани используется для рашировки паролей в файлах .vcrd.
Для работы Credential Manager должна быть запущена служба VaultSvc:
Get-Service VaultSvc
Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка:
Credential Manager Error The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service. Error code: 0x800706B5 Error Message: The interface is unknown.
Если вы хотите заблокировать пользователям возможность сохранения сетевых паролей в Credential Manager, нужно включить параметр Network access: Do not allow storage of passwords and credentials for network authentication в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:
Credential Manager Error Unable to save credentials. To save credentials in this vault, check your computer configuration. Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
Доступ к менеджеру учетных данных Windows из PowerShell
В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.
Установите модуль:
Install-Module CredentialManager
В модуле всего 4 командлета:
- Get-StoredCredential – получить учетные данные из хранилища Windows Vault;
- Get-StrongPassword – сгенерировать случайный пароль;
- New-StoredCredential – добавить учетные данные в хранилище;
- Remove-StoredCredential – удалить учетные данные.
Чтобы добавить новые учетные данные в хранилище CredentialManager, выполните команду:
New-StoredCredential -Target 'contoso' -Type Generic -UserName '[email protected]' -Password '123qwe' -Persist 'LocalMachine'
Проверить, есть в хранилище сохраненные данные:
Get-StoredCredential -Target contoso
С помощью командлета Get-StoredCredential вы можете вывести сохраненный пароль, хранящийся в диспетчере учетных данных в отрытом виде.
Выведите список сохраненных учетных данных:
cmdkey.exe /list
Скопируйте значение Target для объекта, пароль которого вы хотите извлечь и вставьте его в следующую команду:
$cred = Get-StoredCredential -Target LegacyGeneric:target=termsrv/MSKRD2S1 [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))
Команда выведет сохраненный пароль в открытом виде.
Также для получения сохраненных паролей из credman в открытом виде можно использовать утилиты типа Mimikatz (смотри пример).
Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:
$psCred = Get-StoredCredential -Target "Contoso"
Connect-MSolService -Credential $psCred
Также вы можете использовать Get-StoredCredential для безопасного получения сохранённых учетных данных в заданиях планировщика.
Также обратите внимание на модуль PowerShell Secret Management, который можно использовать для безопасного хранения паролей в Windows (поддерживает различные хранилища паролей: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.
Чтобы удалить сохраненные учетные данные из Windows Vault, выполните:
Remove-StoredCredential -Target Contoso
Перейти к содержимому
Возникла ситуация: при попытке зайти на сетевой ресурс в локалке, ввожу пароль и логин, ставлю галочку «запомнить учетные данные» — вход осуществляется. Но после того как система перегружена вновь необходимо вводить логин и пароль, т.е винда не сохраняет учетные данные.
Возникает вопрос: как сохранить пароль в windows?
Проблему решается достаточно просто, опишу 2 способа для Windows7 и Windows XP
Windows 7
Заходим в Пуск-Панель управления-Учетные записи пользователей и семейная безопасность
Потом выбираем пункт Диспетчер учетных данных
Находим пункт Добавить учетные данные Windows
И в появившемся окне вводим данные авторизации (адрес сервера, логин, пароль) затем нажимаем OK
Windows XP
Рассмотрим процедуру сохранения данных авторизации для Windows XP
Пуск – выполнить (можно использовать клавиатурное соединение Win + R) и пишем слово controluserpasswords2 (см. скрин)
И попадаем в учетные записи пользователей. Нас интересует вкладка «дополнительно»
Выбираем управление паролями
Появляется окно сохранение имен пользователей и паролей – жмем кнопку добавить
И в свойствах личных данных для входа вносим данные для авторизации (Сервер, пользователь и пароль)
Все, теперь всякий раз после перезагрузки компьютера вход на сетевые ресурсы будет осуществляться с использованием сохраненных данных.