Comments
Спасибо, было интересно прочитать, хотя и не используем облака.
А можно немножко технических подробностей? Интересен второй сценарий.
По указанной Вами ссылке написано:
Для синхронизации пароля средство синхронизации каталогов извлекает хэш-значение пароля пользователя из локальной Active Directory.

Мне (и, полагаю не только мне) очень интересно что используется для извлечения хэшей паролей из AD?

Сейчас знаю только один способ получить из AD пароль пользователя — внедрить свою dll для проверки сложности пароля и перехватывать пароль при смене. Но этот способ требует установки такой dll на все RWDC (пароль может быть изменён через любой контроллер, и проверка сложности выполняется именно на контроллере, через который меняется пароль). Реализовать такой перехват иногда проблематично (много контроллеров домена).

Понятно, что хэш можно получить их ntds.dit, что для этого необходимо останавливать службы AD — для синхронизации это неприемлемо.

Поделитесь знанием — как извлекаются хэши с работающего контроллера? Можно хотя бы ссылку на какую-нибудь документацию, пример…

Спасибо.
как я понимаю, для синхронизации используется установленная в периметре утилита Microsoft Azure Active Directory Sync. Она и дергает хэши. Наверное, по аналогии с утилитой переноса паролей при миграции AD.
Спасибо за комментарий. Так же вот ссылка, правда на английском, на статью об инструментах интеграции каталогов.
Вот я как раз об этом! Понятно, что существует Password Export Server, но он же какое-то API использует!
Only those users with full accounts are able to leave comments. Log in, please.