Вопрос или проблема
Я знаю, что это опасно, но я пытаюсь создать лабораторию, которая демонстрирует некоторые ошибки конфигурации Active Directory.
Я хотел бы создать Предпочтение групповой политики, которое устанавливает пароль пользователя. И где пароль будет в конечном итоге храниться в Groups.xml.
Я нашел это видео, которое показывает, как это раньше делалось с помощью графического интерфейса. Но поля для ввода пароля заблокированы на Windows Server 2022.
Возможно ли сделать это в PowerShell?
Также, это все еще возможно на Windows Server 2022, или это доступно только в более старых версиях Windows Server?
Возможность установить пароль через GPP была удалена 10 лет назад в MS14-025. По сути, существующие политики могут оставаться, но ограничены операцией «удалить», если вы их измените, и возможность развертывания новых политик была удалена. Само настройка остается для обратной совместимости, но частично отключена, как вы видели.
Для ваших целей вы можете просто создать действительный файл Groups.xml, как на изображении здесь – он просто не будет применяться к клиентским ПК:
из Эскалация привилегий через предпочтения групповой политики (GPP)
Чтобы иметь возможность создать GPO таким образом через графический интерфейс, вам потребуется не патченный Windows Server 2012 R2 или более ранний контроллер домена.
Ответ или решение
К сожалению, задать пароль локального пользователя через управления групповых политик (Group Policy Preferences, GPP) в PowerShell в Windows Server 2022 не получится. Это связано с тем, что в обновлении безопасности MS14-025, выпущенном в 2014 году, возможность конфигурирования паролей через GPP была ограничена.
Подробности
Исходно, до указанного обновления, была возможность задавать пароли для локальных пользователей с помощью GPP, однако после его внедрения Microsoft ограничила эту функцию в целях повышения безопасности. Теперь можно только удалять существующие параметры.
Если вам необходимо создать файл Groups.xml, который включает в себя необходимые настройки, вы всё равно можете сделать это. Однако следует понимать, что новый GPO не сможет применяться на клиентских машинах, так как обновлённые политики не позволят это сделать.
Как создать Groups.xml
Вот пример того, как вы можете вручную создать файл Groups.xml, который имитирует настройку. Для этого можно использовать текстовые редакторы как Notepad или PowerShell для создания файла.
<?xml version="1.0" encoding="utf-16"?>
<Groups xmlns="http://www.microsoft.com/windows/2006/01/graph">
<Group action="create">
<Name>ВашеИмяПользователя</Name>
<Password>Здесь_может_быть_вашПароль</Password>
<Description>Описание вашей группы</Description>
</Group>
</Groups>Для GPO через PowerShell
Как только файл Groups.xml создан, вы можете работать с ним через PowerShell следующим образом:
- Откройте PowerShell от имени администратора.
- Используйте команду для импорта или создания GPO с использованием созданного XML:
# Создание новой GPO
New-GPO -Name "YourGPOName"
# Применение нужных настроек, включая установку ссылок на XML (это необходимо будет делать вручную через интерфейс GPO)
# Затем экспортируйте настройки в XMLЗаключение
Для полного функционирования, вам может потребоваться использовать более старую версию Windows Server, например, Windows Server 2012 R2 или ниже, где данная функция ещё доступна. Это даст вам возможность исследовать уязвимости в безопасности и создать лабораторную среду, демонстрирующую неправильные конфигурации Active Directory.
Убедитесь, что вы используете эти данные только в учебных целях и на системах, где у вас есть разрешение на выполнение таких тестов.