Диспетчер учетных данных windows server 2008

Windows Credential Manager (диспетчер учетных данных) позволяет сохранять учетные записи и пароли для доступа к сетевым ресурсам, сайтам и приложениям. Благодаря диспетчеру учётных записей Windows вы можете подключаться к удаленным ресурсам автоматически, без ввода пароля. Приложения могут самостоятельно обращаться в Credential Manager и использовать сохраненный пароль.

Используем диспетчер учетных данных Windows для хранения паролей

Впервые Credential Manager появился в Windows 7 и позиционируется как достаточное безопасное место для хранения ваших паролей.

В диспетчере учетных данных могут хранится следующие типы аккаунтов:

• Учетные данные Windows (Windows Credentials)– данные для входа в Windows, для доступа на удаленные компьютеры, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих встроенную аутентификацию Windows и т.д;
• Учетные данные на основе сертификатов (Certificate-Based Credentials) – для аутентификации с помощью смарт-карт;
• Общие учетные данные (Generic Credentials) – используются сторонними приложениями, совместимые с Credential Manager;
• Учетные данные для интернета (Web Credentials) – сохранённые пароли в браузерах Edge и IE, приложениях Microsoft (MS Office, Teams, Outlook, Skype и т.д).

Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.

Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).

Также в менеджере паролей сохраняются пароли пользователей при их сохранении командой runas /savecred.

Вы можете получить доступ к диспетчеру учетных данных в Windows 10 из классической панели управления (Control PanelUser AccountsCredential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных).

Как вы видите, в Credential Manager теперь хранятся два пароля, которые мы сохранили ранее.

Сохраненный пароль для RDP подключения сохраняется в формате
TERMSRVhostname
.

Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль из графического интерфейса нельзя) или удалить любую из записей.

Также для работы с сохраненными паролями можно использовать классический диалоговый интерфейс Windows – Stored User Names and Password. Для его вызова, выполните:

rundll32.exe keymgr.dll,KRShowKeyMgr

Здесь вы также можете управлять сохраненными учетными данными, а также есть функции резервного копирования и восстановления данных в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).

Для управления Credential Manager из командной строки используется утилита
vaultcmd
. Например, чтобы вывести список сохраненных учетных данных типа Windows Credentials выполните команду:

vaultcmd /listcreds:"Windows Credentials"

Credential schema: Windows Domain Password Credential
Resource: Domain:target=msk-dc00
Identity: RESOURCEanovak
Hidden: No
Roaming: No
Property (schema element id,value): (100,3)
Property (schema element id,value): (101,SspiPfc)

Следующая команда удалит из Credential Manager все сохраненные пароли для RDP доступа:

For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H

Все сохраненные пароли хранятся в хранилище Windows Vault. Windows Vault это защищенное хранилище секретов, паролей и другой информации пользователя. Данные в Windows Vault структурированы и представляют собой набор записей, принадлежащих определенной схеме Vault. Набор ключей шифрования для записей Windows Vault хранится в файле Policy.vpol.

Для доменных он хранится в каталоге
%userprofile%AppDataRoamingMicrosoftVault
. Для локальных пользователей в
%userprofile%AppDataLocalMicrosoftVault
.

Для работы Credential Manager должна быть запущена служба VaultSvc:

get-service VaultSvc

Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка

Credential Manager Error
The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service.
Error code: 0x800706B5
Error Message: The interface is unknown.

Если вы хотите заблокировать пользователям возможность сохранения сетевых паролей в Credential Manager, нужно включить политику Network access: Do not allow storage of passwords and credentials for network authentication в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:

Credential Manager Error
Unable to save credentials. To save credentials in this vault, check your computer configuration.
Error code: 0x80070520
Error Message: A specified logon session does not exist. It may already have been terminated.

Доступ к менеджеру учетных данных Windows из PowerShell

В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.

Установите модуль:

Install-Module CredentialManager

Список командлетов в модуле можно вывести так:

get-command -module CredentialManager

В модуле всего 4 командлета:

• Get-StoredCredential – получить учетные данные из хранилища Windows Vault;
• Get-StrongPassword – сгенерировать случайный пароль;
• New-StoredCredential – добавить ученые записи;
• Remove-StoredCredential – удалить учетные записи.

Чтобы добавить новые данные в хранилище CredentialManager, выполните команду:

New-StoredCredential -Target 'contoso' -Type Generic -UserName '[email protected]' -Password '123qwe' -Persist 'LocalMachine'

Проверить, есть в хранилище сохраненные данные для пользователя:

Get-StoredCredential -Target contoso

Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:

$psCred = Get-StoredCredential -Target "Contoso"
Connect-MSolService -Credential $psCred

Также обратите внимание на новый модуль, PowerShell Secret Management, который можно использовать для безопасного хранения паролей в Windows (поддерживает различные хранилища паролей: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.

Чтобы удалить определенную учетные данные из Windows Vault, выполните:

Remove-StoredCredential -Target Contoso

Отобразить пароли в открытом виде с помощью встроенных средств нельзя. Но вы можете использовать утилиты типа Mimikatz для получения сохраненных паролей из credman в открытом виде (смотри пример).

Обновлено 28.03.2022

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз я вас научил делать резервные копии с помощью утилиты Robocopy, это было очень полезно. В сегодняшней заметке я покажу, как решается проблема с вылетевшим из домена компьютером, который при логине выводит ошибку «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера«. Думаю, что многие с ней сталкивались, но не все ее решали и понимали откуда эта проблема берется.

Описание проблемы

Давайте я подробнее опишу рабочее окружение. И так есть лес Active Directory, в котором есть родительский домен, дочерний и транзитивный отдельный домен в рамках леса. Поступила задача мигрировать и доверительного домена объект компьютера в дочерний домен. Для этого была использована утилита ADMT 3.2. Сама миграция учетной записи компьютера прошла штатно. Далее я сменил принадлежность к домену Active Directory нового компьютера, у меня ввод был успешен, но было предупреждение, что якобы есть проблемы на уровне DNS-сервера. После перезагрузки и попытке на него залогиниться появилась вот такая ошибка:

В английской версии, это выглядит вот так:

Как решить проблему с доверительными отношениями

И так давайте рассуждать, тут есть два сценария, когда вы можете увидеть эту ошибку:

• Во первых, это когда у вас компьютер или сервер не включались более 30 дней и не обращались к контроллеру домена, так как по умолчанию, каждые 30 дней все учетные записи компьютеров меняют свой пароль безопасности для канала между ними и контроллером домена
• Во вторых, это когда у вас на уровне леса есть два компьютера с одинаковыми именами, которые мешают друг другу и конфликтуют

Что делать в таких ситуациях, в первом случае, это сбросить учетную запись компьютера и восстановить безопасный канал, во втором случае найти дубли, удалить их и уже после этого заново восстанавливать канал между компьютером и контроллером домена.

В ситуации, когда компьютер по тем или иным причинам не мог связаться с контроллером домена, он не мог вовремя обновить свой пароль, в этом случае, когда он появится в локальной сети, он попытается аутентифицироваться со старым паролем в следствии чего будет успешно послан DC на все четыре стороны и получит ту самую ошибку «База данных диспетчера учетных записей на сервере не содержит записи»

Как это исправить. Вам потребуется знать и иметь административную, локальную учетную запись от имени которой вы будите проводить манипуляции по восстановлению доверительных отношений.Если же у вас нет доступа к этой учетной записи, то вам придется сбросить пароль администратора Windows. Далее имея административный, локальный доступ вам нужно сбросить безопасный канал, об этом я уже рассказывал в статье не удается установить доверительные отношения с доменом. Там вы выбираете любой удобный способ:

• Утилита Netdom
• Nltest
• Командлет Reset-ComputerMachinePassword

Если эти манипуляции не помогают, то у вас сто процентов конфликт имен на уровне леса. Первым делом я вам советую открыть логи на контроллере домена. Там вы со сто процентной уверенностью обнаружите ошибку с кодом ID 2974. Как видите в моем случае ошибка указывает на servicePrincipalName HOST/имя компьютера, именно из-за него конфликт.

В моем случае сообщение об ошибке «База данных диспетчера учетных записей на сервере не содержит записи», появлялось потому, что после миграции у меня на старом месте осталась прошлая учетная запись компьютера и в новом месте она же присутствовала, что приводило к дублированию. У новой учетной записи компьютера, была обнаружена такая вещью, у нее не проставлялся атрибут AD servicePrincipalName. Чтобы в этом удостовериться откройте редактор атрибутов Active Directory подключитесь к контексту именования по умолчанию и найдите свой объект компьютера. Перейдите в его свойства.

Тут вы видите, что атрибут servicePrincipalName пустой, и если вы попытаетесь его заполнить, то получите ошибку, пока не уберете дубль.

Думаю что все умеют искать компьютеры в Active directory, но то же самое можно сделать и другими методами.

Например, через оболочку центр администрирования Active Directory, выбрав там глобальный поиск и введя там нужное имя компьютера.

Можно так же и через командную строку, через утилиту dsquery * —filter servicePrincipalName=* —attr Name.

После того, как вы обнаружили ваш дублирующий компьютер в базе данных AD, то удаляем его. После этого, чтобы без перезагрузок и вывода и повторного ввода в домен, нового компьютера сделайте вот что. Находясь в свойствах учетной записи компьютера через ADSIEdit, зайдите внутрь свойства атрибута servicePrincipalName. Там вам нужно в ручном режиме создать записи:

• HOST/dns имя компьютера
• HOST/полное FQDN имя
• RestrictedKrbHost/dns имя компьютера
• RestrictedKrbHost/полное FQDN имя
• TERMSRV/dns имя компьютера
• TERMSRV/полное FQDN имя

После этих внесений, в идеале перезагрузить этот компьютер, но работать будет и без этого. Еще одно дополнение, если вы хотите увеличить период смены пароля у учетных записей компьютеров, то это можно сделать с помощью групповой политики, отредактировав текущую или создав новую. Я вам предлагаю вам отредактировать политику Default Domain Controllers Policy. Перейдите по пути:

По умолчанию стоит значение 30, можете легко поменять, я например, установлю 90 дней.

Отключение режима проверки уникальности имени участника-пользователя и имя участника-службы

Бывают случаи, что по ряду причин нет возможности удалить дублирующий объект. Для таких сценариев компания Microsoft выпустила обновление для Windows Server 2012 R2 и выше, которое позволяет на контроллерах домена, управлять поведением обнаружения дубликатов.

С помощью этого обновления корпорация Майкрософт предоставляет переключатель уровня леса выключить или включить проверку на уникальность посредством атрибута dSHeuristics.

Ниже приведены поддерживаемые dSHeuristics значения.

• dSHeuristic = 1: AD DS позволяет добавлять имена участников-пользователя (UPN)
• dSHeuristic = 2: AD DS позволяет добавлять имена участников повторяющихся службы (SPN)
• dSHeuristic = 3: AD DS позволяет добавление повторяющихся имен SPN и UPN
• dSHeuristic = любое другое значение: службы AD DS применяет проверка уникальности имен SPN и UPN

Ошибка the trust relationship between this workstation and the primary domain failed

Разновидностью ошибки «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения» может выступать вот такое уведомление:

Тут то же сервер не может связаться с контроллером домена, если вы зайдете на него консольно, то в журнале событий вы можете обнаружить критическую ошибку:

Как видно Windows просто не смогла открыть файл netlogon.ftl, за который отвечает служба NETLOGON, которая так же участвует в авторизации пользователя в систему. /В системе мониторинга, я так же нашел провал по свободному дисковому пространству.

Что такое netlogon.ftl ?

И так Windows хранит список входа в разделе реестра DomainCache. В реестре, это путь:

Windows заполняет ключ реестра DomainCache из файла с именем C:WINDOWSsystem32confignetlogon.ftl

Раздел реестра DomainCache обновляется из netlogon.ftl в процессе загрузки компьютера и всякий раз, когда устанавливается подключение к удаленному рабочему столу. Сам же файл netlogon.ftl заполняется из Active Directory службой netlogon. В AD есть раздел defaultNamingContext в контейнере System. Он заполняется из типов объектов TrustedDomain. Посмотреть, что будет заполнено из базы Active Directory можно командой:

Так, что если локальная система не сможет прочитать содержимое файла netlogon.ftl, то ошибка с доверительными отношениями вам обеспечена. Вот так вот просто решается ошибка с отсутствием в базе данных Active Directory учетной записи компьютера для регистрации. С вами был Иван Семин, автор и создатель компьютерного портала Pyatilistnik.org.

При попытке сменить пароль пользователем выдает сообщение
База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией

Ошибка есть на одном 2008 R2 standard (terminal), и на нескольких машинах под 7, 8 и 10. (на ХР проблему незамечено)

В домене более 100 машин и серверов,на них все норм.

В домене 2 AD-DNS. 

http://manaeff.ru/forum/viewtopic.php?f=4&t=1284  все с списка перепробовал не помогло (команды отработали норм)

для 2008 пробовал http://forum.windowsfaq.ru/archive/index.php/t-144290.html тоже не помогло.

вот конфиг с 2008 1C 1.5

C:Windowssystem32>ipconfig /all
Настройка протокола IP для Windows
   Имя компьютера  . . . . . . . . . : 1C
   Основной DNS-суффикс  . . . . . . : it-ft.com.ua
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : it-ft.com.ua
Ethernet adapter Подключение по локальной сети 2:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (Клиент NDIS VBD) #2
   Физический адрес. . . . . . . . . : 00-1A-64-12-C5-7F
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
Ethernet adapter Подключение по локальной сети:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (Клиент NDIS VBD)
   Физический адрес. . . . . . . . . : 00-1A-64-12-C5-7D
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.5(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 192.168.1.96
                                       192.168.1.91
   NetBios через TCP/IP. . . . . . . . : Включен

AD 1.96

C:Windowssystem32>ipconfig /all
Настройка протокола IP для Windows
   Имя компьютера  . . . . . . . . . : f-dc02
   Основной DNS-суффикс  . . . . . . : it-ft.com.ua
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : it-ft.com.ua
Ethernet adapter Подключение по локальной сети:
   Состояние носителя. . . . . . . . : Носитель отключен
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS
 VBD Client) #3
   Физический адрес. . . . . . . . . : 00-21-5E-71-10-96
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
Ethernet adapter Local Area Connection:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD Client)
   Физический адрес. . . . . . . . . : 00-21-5E-71-10-94
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.96(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 192.168.1.91
                                       192.168.1.96
   NetBios через TCP/IP. . . . . . . . : Включен

AD 1.91

C:Windowssystem32>ipconfig /all
Настройка протокола IP для Windows
   Имя компьютера  . . . . . . . . . : F-DC03
   Основной DNS-суффикс  . . . . . . : it-ft.com.ua
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : it-ft.com.ua
Ethernet adapter Eth0:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Физический адрес. . . . . . . . . : 00-50-56-A3-55-E4
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.91(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 192.168.1.96
                                       192.168.1.91
                                       127.0.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

DCDIAG

Управление сохраненными паролями с помощью Windows Credential Manager

Windows Credential Manager (диспетчер учетных данных) позволяет сохранять учетные записи и пароли для доступа к сетевым ресурсам, сайтам и приложениям. Благодаря диспетчеру учётных записей Windows вы можете подключаться к удаленным ресурсам автоматически, без ввода пароля. Приложения могут самостоятельно обращаться в Credential Manager и использовать сохраненный пароль.

Используем диспетчер учетных данных Windows для хранения паролей

Впервые Credential Manager появился в Windows 7 и позиционируется как достаточное безопасное место для хранения ваших паролей.

В диспетчере учетных данных могут хранится следующие типы аккаунтов:

Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.

Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).

Как вы видите, в Credential Manager теперь хранятся два пароля, которые мы сохранили ранее.

Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль из графического интерфейса нельзя) или удалить любую из записей.

Также для работы с сохраненными паролями можно использовать классический диалоговый интерфейс Windows – Stored User Names and Password. Для его вызова, выполните:

Здесь вы также можете управлять сохраненными учетными данными, а также есть функции резервного копирования и восстановления данных в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).

vaultcmd /listcreds:»Windows Credentials»

Следующая команда удалит из Credential Manager все сохраненные пароли для RDP доступа:

For /F «tokens=1,2 delims= » %G in (‘cmdkey /list ^| findstr «target=TERMSRV»‘) do cmdkey /delete %H

Все сохраненные пароли хранятся в хранилище Windows Vault. Windows Vault это защищенное хранилище секретов, паролей и другой информации пользователя. Данные в Windows Vault структурированы и представляют собой набор записей, принадлежащих определенной схеме Vault. Набор ключей шифрования для записей Windows Vault хранится в файле Policy.vpol.

Для работы Credential Manager должна быть запущена служба VaultSvc:

Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка

Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:

Доступ к менеджеру учетных данных Windows из PowerShell

В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.

Список командлетов в модуле можно вывести так:

В модуле всего 4 командлета:

Чтобы добавить новые данные в хранилище CredentialManager, выполните команду:

Проверить, есть в хранилище сохраненные данные для пользователя:

Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:

Чтобы удалить определенную учетные данные из Windows Vault, выполните:

Отобразить пароли в открытом виде с помощью встроенных средств нельзя. Но вы можете использовать утилиты типа Mimikatz для получения сохраненных паролей из credman в открытом виде (смотри пример).

Источник

Windows credential manager cmd

Вопрос

Ответы

The cmdkey.exe is a Credential Manager Command Line Utility.

This file is part of Microsoft® Windows® Operating System. Cmdkey.exe is developed by Microsoft Corporation. It’s a system and hidden file. Cmdkey.exe is usually located in the %SYSTEM% sub-folder and its usual size is 13,824 bytes.

Все ответы

This page provides usage information for the NET USE command.

Specifically the /savecred switch saves credentials for reuse.

This page provides usage information for the NET USE command.

Specifically the /savecred switch saves credentials for reuse.

Completely unrelated to the poster’s question BTW.

control /name Microsoft.CredentialManager

The cmdkey.exe is a Credential Manager Command Line Utility.

This file is part of Microsoft® Windows® Operating System. Cmdkey.exe is developed by Microsoft Corporation. It’s a system and hidden file. Cmdkey.exe is usually located in the %SYSTEM% sub-folder and its usual size is 13,824 bytes.

This is really close to what I need.

I need to set up a service to be able to access a file share on a machine in an unrelated domain.

If I can log in to the account which the service is running under, I can use this utility to create the credentials. However, if the service is running as some other identity (Service SID or a user without login rights) this is not practical.

Is there a way to create credentials which will be used by a different user than the one currently executing the command?

Microsoft SQL Server Storage Engine PM

Another way to bring up a dialog which allows you to manage the stored credentials is to bring up the ‘Stored User Names and Passwords’ dialog via the following command:

rundll32.exe keymgr.dll, KRShowKeyMgr

This works in XP, Windows 7 and Windows 8.

Another way to bring up a dialog which allows you to manage the stored credentials is to bring up the ‘Stored User Names and Passwords’ dialog via the following command:

rundll32.exe keymgr.dll, KRShowKeyMgr

This works in XP, Windows 7 and Windows 8.

If there are a lot of them you could go to a command prompt and type:

Or better yet: cmdkey /list > del_creds.cmd

Then edit the file so you are only left with, for example:

cmdkey /delete:info-services.dev-inside.lni.wa.gov
cmdkey /delete:info-services.inside.lni.wa.gov
cmdkey /delete:inside.lni.wa.gov
cmdkey /delete:lnidaptumtfs08.wads.res
cmdkey /delete:lniduttumvm05
cmdkey /delete:lnipstum01.wads.res
cmdkey /delete:lnipstum02.wads.res
cmdkey /delete:lnixapolysrm1.wads.res
cmdkey /delete:ohr.apps-inside.lni.wa.gov
cmdkey /delete:portal.apps-inside.lni.wa.gov
cmdkey /delete:portal.dev-inside.lni.wa.gov
cmdkey /delete:scsd8.unit-test.wads.wa.gov

then run your del_creds.cmd file and they will all be gone.

control keymgr.dll

Hi! Is there a way to avoid saving credentials for ras connections?

I have a question on this.

What if I don’t the exact name of the Element I want to delete? Can I use wild card character for searching element? like cmdkey /delete:scsd8.unit-test*, so anything which start with scsd8.unit-test should be deleted.

I guess if you type cmdkey.exe in your CMD command prompt window it will show you a switch /list.

This should show you all saved credentials. Should not be so hard to figure out which one is what.

Example result of above command with /list switch:

Currently stored credentials:

Target: LegacyGeneric:target=Microsoft_OC1:uri=joe.blogs@contoso.com:certifica
te:OCS:1
Type: Generic Certificate
User:

This is typically MS Lync/Office Communicator credential stored where Microsoft_OC1 means MS Office Communicator.

It doesn’t matter if this is old or in the «wring» forum. Information is information, and this will help someone in the future. It took a while for me to figure out, but it is the solution to antonior0409’s problem:

Modify the entry UseRasCredentials=0 in the file rasphone.pbk in the following folder
C:Users\AppDataRoamingMicrosoftNetworkConnectionsPbk_hiddenpbk rasphone.pbk

Another location is C:Program DataMicrosoftnetworkconnections

These are hidden folders and the easiest way to get to them it to type %appdata% or %programdata% in the search function and navigate the rest of the way

Источник

Windows credential manager cmd

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

Answers

The cmdkey.exe is a Credential Manager Command Line Utility.

This file is part of Microsoft® Windows® Operating System. Cmdkey.exe is developed by Microsoft Corporation. It’s a system and hidden file. Cmdkey.exe is usually located in the %SYSTEM% sub-folder and its usual size is 13,824 bytes.

This page provides usage information for the NET USE command.

Specifically the /savecred switch saves credentials for reuse.

This page provides usage information for the NET USE command.

Specifically the /savecred switch saves credentials for reuse.

Completely unrelated to the poster’s question BTW.

control /name Microsoft.CredentialManager

The cmdkey.exe is a Credential Manager Command Line Utility.

This file is part of Microsoft® Windows® Operating System. Cmdkey.exe is developed by Microsoft Corporation. It’s a system and hidden file. Cmdkey.exe is usually located in the %SYSTEM% sub-folder and its usual size is 13,824 bytes.

This is really close to what I need.

I need to set up a service to be able to access a file share on a machine in an unrelated domain.

If I can log in to the account which the service is running under, I can use this utility to create the credentials. However, if the service is running as some other identity (Service SID or a user without login rights) this is not practical.

Is there a way to create credentials which will be used by a different user than the one currently executing the command?

Microsoft SQL Server Storage Engine PM

Another way to bring up a dialog which allows you to manage the stored credentials is to bring up the ‘Stored User Names and Passwords’ dialog via the following command:

rundll32.exe keymgr.dll, KRShowKeyMgr

This works in XP, Windows 7 and Windows 8.

Another way to bring up a dialog which allows you to manage the stored credentials is to bring up the ‘Stored User Names and Passwords’ dialog via the following command:

rundll32.exe keymgr.dll, KRShowKeyMgr

This works in XP, Windows 7 and Windows 8.

If there are a lot of them you could go to a command prompt and type:

Or better yet: cmdkey /list > del_creds.cmd

Then edit the file so you are only left with, for example:

cmdkey /delete:info-services.dev-inside.lni.wa.gov
cmdkey /delete:info-services.inside.lni.wa.gov
cmdkey /delete:inside.lni.wa.gov
cmdkey /delete:lnidaptumtfs08.wads.res
cmdkey /delete:lniduttumvm05
cmdkey /delete:lnipstum01.wads.res
cmdkey /delete:lnipstum02.wads.res
cmdkey /delete:lnixapolysrm1.wads.res
cmdkey /delete:ohr.apps-inside.lni.wa.gov
cmdkey /delete:portal.apps-inside.lni.wa.gov
cmdkey /delete:portal.dev-inside.lni.wa.gov
cmdkey /delete:scsd8.unit-test.wads.wa.gov

then run your del_creds.cmd file and they will all be gone.

control keymgr.dll

Hi! Is there a way to avoid saving credentials for ras connections?

I have a question on this.

What if I don’t the exact name of the Element I want to delete? Can I use wild card character for searching element? like cmdkey /delete:scsd8.unit-test*, so anything which start with scsd8.unit-test should be deleted.

I guess if you type cmdkey.exe in your CMD command prompt window it will show you a switch /list.

This should show you all saved credentials. Should not be so hard to figure out which one is what.

Example result of above command with /list switch:

Currently stored credentials:

Target: LegacyGeneric:target=Microsoft_OC1:uri=joe.blogs@contoso.com:certifica
te:OCS:1
Type: Generic Certificate
User:

This is typically MS Lync/Office Communicator credential stored where Microsoft_OC1 means MS Office Communicator.

It doesn’t matter if this is old or in the «wring» forum. Information is information, and this will help someone in the future. It took a while for me to figure out, but it is the solution to antonior0409’s problem:

Modify the entry UseRasCredentials=0 in the file rasphone.pbk in the following folder
C:Users\AppDataRoamingMicrosoftNetworkConnectionsPbk_hiddenpbk rasphone.pbk

Another location is C:Program DataMicrosoftnetworkconnections

These are hidden folders and the easiest way to get to them it to type %appdata% or %programdata% in the search function and navigate the rest of the way

Источник

Windows credential manager cmd

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

Answers

The cmdkey.exe is a Credential Manager Command Line Utility.

This file is part of Microsoft® Windows® Operating System. Cmdkey.exe is developed by Microsoft Corporation. It’s a system and hidden file. Cmdkey.exe is usually located in the %SYSTEM% sub-folder and its usual size is 13,824 bytes.

This page provides usage information for the NET USE command.

Specifically the /savecred switch saves credentials for reuse.

This page provides usage information for the NET USE command.

Specifically the /savecred switch saves credentials for reuse.

Completely unrelated to the poster’s question BTW.

control /name Microsoft.CredentialManager

The cmdkey.exe is a Credential Manager Command Line Utility.

This file is part of Microsoft® Windows® Operating System. Cmdkey.exe is developed by Microsoft Corporation. It’s a system and hidden file. Cmdkey.exe is usually located in the %SYSTEM% sub-folder and its usual size is 13,824 bytes.

This is really close to what I need.

I need to set up a service to be able to access a file share on a machine in an unrelated domain.

If I can log in to the account which the service is running under, I can use this utility to create the credentials. However, if the service is running as some other identity (Service SID or a user without login rights) this is not practical.

Is there a way to create credentials which will be used by a different user than the one currently executing the command?

Microsoft SQL Server Storage Engine PM

Another way to bring up a dialog which allows you to manage the stored credentials is to bring up the ‘Stored User Names and Passwords’ dialog via the following command:

rundll32.exe keymgr.dll, KRShowKeyMgr

This works in XP, Windows 7 and Windows 8.

Another way to bring up a dialog which allows you to manage the stored credentials is to bring up the ‘Stored User Names and Passwords’ dialog via the following command:

rundll32.exe keymgr.dll, KRShowKeyMgr

This works in XP, Windows 7 and Windows 8.

If there are a lot of them you could go to a command prompt and type:

Or better yet: cmdkey /list > del_creds.cmd

Then edit the file so you are only left with, for example:

cmdkey /delete:info-services.dev-inside.lni.wa.gov
cmdkey /delete:info-services.inside.lni.wa.gov
cmdkey /delete:inside.lni.wa.gov
cmdkey /delete:lnidaptumtfs08.wads.res
cmdkey /delete:lniduttumvm05
cmdkey /delete:lnipstum01.wads.res
cmdkey /delete:lnipstum02.wads.res
cmdkey /delete:lnixapolysrm1.wads.res
cmdkey /delete:ohr.apps-inside.lni.wa.gov
cmdkey /delete:portal.apps-inside.lni.wa.gov
cmdkey /delete:portal.dev-inside.lni.wa.gov
cmdkey /delete:scsd8.unit-test.wads.wa.gov

then run your del_creds.cmd file and they will all be gone.

control keymgr.dll

Hi! Is there a way to avoid saving credentials for ras connections?

I have a question on this.

What if I don’t the exact name of the Element I want to delete? Can I use wild card character for searching element? like cmdkey /delete:scsd8.unit-test*, so anything which start with scsd8.unit-test should be deleted.

I guess if you type cmdkey.exe in your CMD command prompt window it will show you a switch /list.

This should show you all saved credentials. Should not be so hard to figure out which one is what.

Example result of above command with /list switch:

Currently stored credentials:

Target: LegacyGeneric:target=Microsoft_OC1:uri=joe.blogs@contoso.com:certifica
te:OCS:1
Type: Generic Certificate
User:

This is typically MS Lync/Office Communicator credential stored where Microsoft_OC1 means MS Office Communicator.

It doesn’t matter if this is old or in the «wring» forum. Information is information, and this will help someone in the future. It took a while for me to figure out, but it is the solution to antonior0409’s problem:

Modify the entry UseRasCredentials=0 in the file rasphone.pbk in the following folder
C:Users\AppDataRoamingMicrosoftNetworkConnectionsPbk_hiddenpbk rasphone.pbk

Another location is C:Program DataMicrosoftnetworkconnections

These are hidden folders and the easiest way to get to them it to type %appdata% or %programdata% in the search function and navigate the rest of the way

Источник

Пользователям бывает трудно запоминать многочисленные имена и пароли для доступа к различным ресурсам. Существует немало программ независимых производителей для управления учетными данными, но в Windows Vista, Windows XP, Windows Server 2008 и Windows Server 2003 предусмотрена встроенная функция для автоматического управления именами пользователей и паролями для доступа к ресурсам, требующим учетных данных, отличных от обычных данных регистрации в Windows. Этот компонент называется Stored User Names and Passwords.

С помощью Stored User Names and Passwords можно хранить учетные данные для локальной сети и ресурсов Internet. Типы учетных данных, создаваемые, управляемые и применяемые с использованием компонента:

• имена пользователя и пароли;
• сертификаты X.509 (например, для смарт-карт);
• паспорта (например, паспорта .NET).

Пользователям Windows XP Home Edition необходимо помнить, что в этой версии XP хранятся только паспортные учетные данные и имена пользователя и пароли RAS/VPN.

Рассмотрим преимущества компонента Stored User Names and Passwords, принцип его действия и возможности ручного управления учетными данными.

Преимущества

При регистрации в системе локально или при регистрации в домене пользователи должны предоставить имя и пароль. После регистрации эти учетные данные становятся контекстом безопасности по умолчанию для доступа к другим ресурсам в локальной сети, удаленной сети и/или Internet. Но иногда учетных данных бывает недостаточно для доступа ко всем необходимым пользователю ресурсам. Например, дополнительные учетные данные требуются для доступа к Web-узлам с проверкой подлинности или доменам, с которыми нет доверительных отношений. Если таких ресурсов много, пользователям нужно вводить целый ряд различных учетных данных.

Разнообразные учетные данные могут потребоваться и администраторам: например, регистрация в сети с обычными учетными данными Windows и использование административных прав для выполнения определенных задач на удаленных серверах.

Необходимость помнить многочисленные комбинации имен пользователей и паролей приводит к неправильному использованию паролей, в том числе слабым паролям, одинаковым паролям для всех ресурсов и записи паролей где бы то ни было. Таких ошибок можно избежать благодаря компоненту Stored User Names and Passwords, который позволяет безопасно хранить многие учетные данные и управлять ими. Пользователям предоставляется единая процедура регистрации, так как они регистрируются только на своих компьютерах и в своих доменах. Поскольку пользователям не приходится запоминать пароли, они, скорее всего, выберут сложные пароли, что существенно повысит общую безопасность.

Учетные данные хранятся в защищенной части профиля пользователя, где они недоступны для других пользователей. Если пользователь располагает единственным профилем в масштабах всей компании (перемещаемый профиль), сохраненные имена пользователя и пароли запоминаются всегда при его регистрации в сети. Это дополнительно расширяет функциональность компонента при сохранении приемлемого уровня безопасности.

Принцип действия

При попытке обратиться к Web-узлу или сетевому ресурсу, недоступному с обычными учетными данными, пользователь получает запрос об имени и пароле. Если флажок Remember my password установлен, введенная информация запоминается в профиле пользователя. В следующий раз, когда пользователь подключается к этому ресурсу, проверка подлинности выполняется автоматически на основе сохраненных учетных данных.

Каждый раз, когда пользователь устанавливает флажок Remember my password, учетные данные сохраняются в наиболее общей форме. Например, если флажок Remember my password установлен при доступе к определенному серверу в домене company.com, учетные данные сохраняются под *.company.com. Если пользователь вновь устанавливает флажок Remember my password при обращении к другому серверу в том же домене, ранее сохраненные данные не перезаписываются, а новые учетные данные сохраняются с более конкретной информацией, например server1.company.com. В силу такого подхода нельзя сохранить более одного имени пользователя и пароля для конкретной процедуры регистрации, и это несколько ограничивает возможности компонента Stored User Names and Passwords.

Если сохранено несколько наборов учетных данных, Windows упорядочивает их от конкретных к более общим. Если пользователь пытается обратиться к ресурсу, недоступному с его текущими учетными данными, пакет проверки подлинности ищет в репозитории Stored User Names and Passwords наиболее точный набор учетных данных, подходящий для ресурса. Если он обнаружен, пакет проверки подлинности использует его, не запрашивая дополнительных данных. Если нет, пользователь получает приглашение ввести имя и пароль.

Учетные данные

В дополнение к автоматическому созданию и хранению учетных данных при установке флажка Remember my password, можно вручную создать учетные данные для конкретного ресурса. Учетные данные, подготовленные вручную, обрабатываются операционной системой так же, как созданные автоматически.

Vista, XP, Server 2008 и Windows 2003 предоставляют простой и интуитивно понятный интерфейс для создания учетных данных вручную. Можно просматривать, изменять и удалять существующие учетные данные. Кроме того, в Vista и Server 2008 предусмотрена полезная возможность архивации и восстановления наборов учетных данных. На экране 1 показан интерфейс Vista — диалоговое окно Stored User Names and Passwords. Ниже описано, как использовать диалоговое окно Stored User Names and Passwords в XP и Vista. Процессы здесь те же, что и в соответствующих серверных операционных системах.

Доступ к диалоговому окну Stored User Names and Passwords. В XP доступ к диалоговому окну Stored User Names and Passwords слегка различается в зависимости от того, находится компьютер в рабочей группе или в домене. Если компьютер в рабочей группе, нужно открыть утилиту User Accounts панели управления, выбрать текущего зарегистрированного пользователя, а затем щелкнуть Manage my network passwords в области Related tasks. Существует возможность управлять учетными данными текущего зарегистрированного пользователя. Если компьютер в домене, откройте утилиту User Accounts панели управления, щелкните вкладку Advanced, а затем кнопку Manage Passwords.

В Windows Vista доступ к диалоговому окну выполняется одинаково, независимо от местонахождения компьютера в рабочей группе или домене. Откройте утилиту User Accounts панели управления, щелкните заголовок User Accounts, а затем Manage my network passwords в области Tasks.

В Vista и XP к утилите User Accounts можно обратиться напрямую, открыв окно Run и запустив команду

Control Userpasswords2

В открывшемся окне укажите вкладку Advanced, а затем нажмите кнопку Manage Passwords. Если нужно получить доступ к учетным данным текущего зарегистрированного пользователя, выполните команду

rundll32.exe keymgr.dll,
   KRShowKeyMgr

В результате напрямую открывается диалоговое окно Stored User Names and Passwords. В нем можно добавлять, изменять, удалять, архивировать и восстанавливать наборы учетных данных.

Добавление набора учетных данных. Чтобы вручную добавить набор учетных данных для ресурса, следует щелкнуть кнопку Add для вызова диалогового окна Stored User Names and Passwords, показанного на экране 2.

В поле Log on to введите имя ресурса. Можно использовать различные форматы, в том числе имена узлов (например, server1), полные доменные имена (например, server1.domainX.com) и даже подстановочные символы (например, *.domainX.com). Но помните, что, если для одного ресурса может применяться несколько наборов учетных данных, компонент Stored User Names and Passwords всегда использует наиболее специфичное имя ресурса.

В поле User name следует ввести имя пользователя в одном из следующих форматов:

• ДоменИмя пользователя (например, DomainXUser1);
• КомпьютерИмя пользователя (например, Computer1User1);
• Имя пользователяКомпьютер (например, User1Computer1);
• WorkgroupUsername (например, SalesUser2);
• Имя пользователяРабочая группа (например, User2Sales);
• Основное имя пользователя (UPN, например, User1@domainX.com).

В поле Password введите пароль. Наконец, укажите, применимы ли учетные данные для проверки подлинности при регистрации в Windows, на Web-узле или в программе.

Изменение набора учетных данных. Чтобы изменить существующий набор учетных данных, выберите ресурс из списка в диалоговом окне Stored User Names and Passwords, а затем выберите команду Edit (в Vista) или Properties (в XP). Изменять можно только имя пользователя и пароль.

Удаление набора учетных данных. Для удаления существующего набора учетных данных выберите ресурс из списка в диалоговом окне Stored User Names and Passwords и щелкните Remove.

Архивация и восстановление наборов учетных данных (только в Vista и Server 2008). Автоматическое сохранение учетных данных полезно, но их потеря может привести к неприятным последствиям. В Vista и Server 2008 можно архивировать и восстанавливать наборы учетных данных с помощью мастера архивации и восстановления. В целях безопасности процессы архивации и восстановления автоматизировать нельзя. Единственный способ архивировать и восстановить наборы учетных данных — сделать это вручную.

Для архивации в Vista нажмите кнопку Back up в диалоговом окне Stored User Names and Passwords. В диалоговом окне, показанном на экране 3, перейдите в место, где нужно сохранить архивный файл, и введите имя, которое будет ему присвоено.

Все наборы учетных данных хранятся в одном файле .crd, зашифрованном с помощью алгоритма Advanced Encryption Standard (AES). После того как будет указано место и имя файла, пользователь должен нажать клавиши Ctrl+Alt+Del, чтобы переключить Vista в безопасный режим. Затем выдается приглашение ввести новый пароль для защиты учетных данных. Пароль должен быть надежным (содержать буквы верхнего и нижнего регистров, цифры и специальные символы). После ввода и подтверждения пароля учетные данные сохраняются в указанном месте с указанным именем файла.

Если нужно восстановить ранее сохраненные учетные данные, щелкните кнопку Restore в окне Stored User Names and Passwords. Перейдите к местоположению файла .crd и введите пароль. Помните, что восстановленные наборы учетных данных из архивного файла заменяют любые существующие наборы учетных данных в компьютере.

Защита учетных данных

Хранить несколько наборов учетных данных в одном месте удобно, но опасно. Хотя учетные данные хранятся в зашифрованном формате в диспетчере учетных записей (SAM) и профиле пользователя, злоумышленники могут взломать пароли, если получат физический доступ к файлам профиля пользователя.

Для максимально надежной защиты учетных данных важно применить все меры безопасности. Перечислим некоторые из них.

• Защита пользователями компьютеров, оставленных без присмотра. Например, пользователи должны завершить сеанс или блокировать компьютеры, прежде чем покинуть их на длительное время. Для защиты компьютеров, оставленных без присмотра на короткое время, нужно установить хранители экрана с паролем.
• Защита ноутбуков с использованием BitLocker или аналогичной программы шифрования. Таким образом, данные будут защищены в случае потери или кражи компьютера.
• Использование надежного пароля для обычной процедуры регистрации в Windows и регулярная смена этого пароля. В домене лучше всего использовать групповую политику для принудительного изменения пароля.
• Для особо важных ресурсов можно отключить компонент Stored User Names and Passwords.

Удобный инструмент

Компонент Stored User Names and Passwords — удобный инструмент для пользователей, работающих со многими учетными данными для доступа к различным ресурсам сети и Internet. Он обеспечивает единую процедуру входа. Хотя хранилище учетных данных зашифровано, важно надежно защитить рабочие станции с сохраненными учетными данными.

Дамир Диздаревич — Менеджер учебного центра Logosoft в Сараево (Босния). Имеет сертификаты MCSE, MCTS, MCITP и MCT. Специализируется на безопасности Windows Server. ddamir@logosoft.ba

---

Экран 3. Архивация наборов учетных данных