Удалить запись из диспетчера учетных данных для всех пользователей в Windows

В настоящее время я выполняю “удаление настроек” для всех пользователей в деинсталляторе Windows и попал в проблему, которую я даже не уверен в возможности решить.

Приложение сохраняет записи учетных данных для текущего пользователя с помощью CredentialManager ( keymgr.dll ). Позвольте называть цель учетных данных “X”. При удалении все учетные данные, хранящиеся с целевым “X”, должны быть удалены для всех пользователей. Конечно, для деинсталлятора требуются права администратора, но все же мне очень сложно выполнить это.

Для текущего пользователя эта команда обычно разрешается с помощью команды cmdkey/delete=:X из командной строки. Насколько мне известно, cmdkey.exe/list помогает только перечислять записи для текущего пользователя и не может удалять локальные записи от другого пользователя.

Я узнал, что учетные данные хранятся в виде файлов ОС в папке C:\Users\_user_\AppData\Local\Microsoft\Credentials , но я не могу знать, какие файлы являются записями, которые я хочу удалить, и удаление всех будет опасным для других применений. Также я предполагаю, что удаление файлов ОС будет опасным и может иметь ограничения (дополнительное приглашение UAC?).

Команда Runas – это самый близкий выстрел, который я получил, но поскольку для пользователя требуется пароль пользователя, это становится очень сложным, а не тем, что я хочу в деинсталляторе. Мне также нужен способ получить имя пользователя и домен для каждого пользователя и повторить их.

Я бы предпочел использовать для этого cmd или powershell .

Не хочу, чтобы некропольский старый пост, но мне нужно было сделать это самостоятельно, поэтому я решил, что добавлю это на тот случай, если кому-то еще это понадобится:

Powershell one liner, который удалит все учетные данные с Microsoft в строке.

Я запускал это, и он очищал его локально, без необходимости запускаться как admin (но я локальный администратор)

При запуске утилиты cmdkey.exe из командного файла или команды PowerShell могут возникнуть две проблемы, связанные со специальными символами. 1. При запуске из командного файла, если учетные данные имеют “(” или “)” без двойных кавычек, то есть левое и правое объединение, эти учетные данные не будут удалены. 2. Если в имени учетной записи, известном как targetname, есть дефис, окруженный пробелами, cmdkey не будет удалять или создавать учетные данные с этой строкой “-“.

Есть несколько модулей powershell, написанных для того, чтобы попытаться это сделать, но единственный, который я обнаружил, который обрабатывает эти исключения, был на Github https://github.com/bamcisnetworks/BAMCIS.CredentialManager

Используя это, я смог создать учетные данные для настройки тестовой среды с паренами или дефисами, но, что более важно, удалить их, собрав список пользователей из кэшированных учетных данных с помощью команды modules, а затем передав информацию в команде команде remove для удалить ВСЕ кэшированные учетные данные.

Одно предостережение. После удаления команды через некоторое время два кэшированных учетных данных динамически появляются снова.

Поэтому для решения частых проблем с блокировкой пользователей я собираюсь попытаться развернуть их с помощью SCCM в контексте пользователя при выходе из системы. В противном случае может потребоваться перезагрузка системы после удаления учетных данных. Вот скрипт-прототип, который импортирует модуль и затем использует его для удаления всех кэшированных учетных данных. Как всегда, тестируйте, тестируйте, тестируйте и используйте на свой страх и риск!

Пакетное, повышенное cmd подскажите:

Чтобы найти основные из них, перечислите любые с MS.O, Micro и командами:

для /f “токены = 1-4 Delims =: =”% A in (‘cmdkey/list ^ | findstr Target: ^ | findstr/i “MS.O Micro Teams”‘) do @echo% D

Это удаляет все записи для команд:

for/f “tokens = 1-4 Delims =: =”% A in (‘cmdkey/list ^ | findstr/i команды’) do @cmdkey/delete:% D

Если вы хотите включить это как скрипт, синтаксис будет немного другим. Удвойте %% A %% D в

Джон С. – это отличный ответ, но утверждение “за” можно немного отточить. Поскольку нам нужен только текст после знака “=”, мы можем упростить его, чтобы разделить каждую строку только на две части со знаком “=” (вместо четырех, используя двоеточия и “=”), и отправлять только вторую часть в команду.

По крайней мере, это мой взгляд на это. Может я что то пропустил?

Cохраненные пароли windows 8, 10 Архивация\Удаление\Перенос

Очень часто при обращение к какому либо ресурсу мы сохраняем учетные данные для данного ресурса.
Но возникает момент, когда данные меняются или нам необходимо переустановить ОС и не потерять сохранённые пароли.
Используя панель управления вызываем «диспетчер администрирования учетных записей».

диспетчер администрирования учетных записей

Диспетчер содержит в себе записи условно разделенные на «учетные данные для интернета» и «учетные данные windows».

Первые могут являться сохранёнными паролями к ftp, сайтам и.т.п используемые в браузерах или программах которые взаимодействую с winapi и могут передавать пароли в данную форму.
В моем примере там сохранены пароли из браузера Internet Explorer.
Учетные данные можно свободно посмотреть, защищены они текущем паролем пользователя.

Вторые, это данные которые хранятся в контейнере windows. Это те учетные данные, которые мы используем в проводнике, удалённом подключение и в прочих нативных приложениях.

Учетные данные можно изменить или удалить. Посмотреть учетные данные там невозможно.
Данные можно архивировать для последующего переноса на другую систему, делает это весьма просто нажимаем «Архивация учетные данных» указываем куда сохранить архив и вводим пароль. На целевой системы выполняем такую же последовательность действий только используем уже «Восстановление учетных данных»
Можно использовать более каноничный интерфейс, вызываемые такой командой:

«Диспетчер учетных данных» – место, в котором Windows хранит пароли и другие данные для входа

«Диспетчер учетных данных» – место, в котором Windows хранит пароли и другие данные для входа

Виджеты на рабочий стол

В Экселе не двигается курсор по ячейкам: в чем может быть проблема?

Не работает правая кнопка мыши в Excel: где кроется проблема?

Не работает фильтр в Excel: загвоздка, на которую мы часто не обращаем внимания

Не отображаются листы в Excel: как вернуть вкладки без танцев с бубнами

Бьюсь об заклад, почти никто из вас не слышал о «Диспетчере учетных данных», не говоря уже о том, что это такое и как его использовать. Впрочем, до недавнего времени назначение этого инструмента оставалось загадкой и для меня, хотя и знал о его существовании. В этой статье я расскажу все, что мне известно о нем и как его использовать.

Что такое «Диспетчер учетных данных»?

«Диспетчер учетных данных» – это «цифровой сейф», в котором Windows хранит учетные данные (имя пользователя, пароли и т.д.) для других компьютеров в сети, серверов или веб-сайтов. Эти данные использует как сама операционная система, так и приложения, которые знают, как их использовать, например: инструменты, входящие в состав Windows Live Essentials, Microsoft Office, Internet Explorer или приложения для запуска виртуальных машин.

Учетные данные разделены на три категории:

• «Учетные данные Windows» – используются только Windows и ее службами. К примеру, Windows может использовать эти данные для автоматического входа в общие папки на другом компьютере в вашей сети. Или, для хранения пароля домашней группы, к которой вы присоединены. Пользователь может изменять или удалять такие учетные данные, но это мы затронем в последующих разделах данное статьи.
• «Учетные данные на основе сертификата» – они используются вместе со смарт-картами, в основном в сложных сетевых бизнес-средах. Большинству из вас никогда не потребуется использовать эти учетные данные и этот раздел на ваших компьютерах будет пуст, но если вы хотите узнать о них больше, почитайте эту статью от Microsoft.
• «Общие учетные данные» – используются некоторыми программами для получения разрешения на использование определенных ресурсов. Самыми часто используемыми общими учетными данными является Windows Live ID, который используется программами, включенными в пакет Windows Live Security Essentials.

Все эти учетные данные автоматически сохраняются и управляются Windows и приложениями, которые вы используете. Для просмотра учетных данных, хранящихся на компьютере, или для удаления или редактирования некоторых из них, используется «Диспетчер учетных данных».

«Учетные данные для Интернета» создаются и удаляются через встроенные в Internet Explorer функции для управления паролями. Вы не сможете создавать эти данные через «Диспетчер учетных данных» – можно только просматривать существующие и удалять их.

Как открыть «Диспетчер учетных данных»?

Один из способов открытия «Диспетчера учетных данных»: откройте «Панель управления», затем перейдите в раздел «Учетные записи пользователей и Семейная безопасность», ну а дальше выберите «Диспетчер учетных данных».

Наиболее распространенные учетные данные

На большинстве компьютеров с Windows 7 и Windows 8 вы увидите в основном одни и те же учетные данные. Среди наиболее распространенных:

• Детали для входа в домашнюю группу – здесь хранится имя пользователя (HomeGroupUser$) с паролем для доступа к домашней группе.
• virtualapp/didlogical – об этих учетных данных известно очень мало. Некоторые говорят, что они используются функциями виртуализации, включенными в Windows 7 и Windows 8.
• WindowsLive – данные для входа в Windows Live ID.

Добавление учетных данных

Процесс добавления учетных данных очень простой. Во-первых, определитесь с типом учетных данных. Как из трех вам нужен?

Предположим, вы хотите добавить «Учетные данные Windows» для того, чтобы вы могли открывать папки на другом компьютере.

Нажмите на ссылку «добавить учетные данные Windows».

Дальше вам нужно ввести необходимые данные для входа. Сначала введите IP-адрес или имя компьютера. Далее введите имя пользователя, которое будет использоваться для входа. Кстати, не забудьте ввести имя компьютера перед именем пользователя, как показано на скриншоте ниже. Теперь введите пароль и нажмите кнопку «OK».

Учетные данные сохраняться и будут автоматически использоваться при каждом доступе к данному компьютеру вашей сети.

Удаление учетных данных

Для удаления учетных данных, сперва найдите их и раскройте, кликнув на их название или на стрелку справа.

Затем нажмите на ссылку «Удалить».

Вас попросят подтвердить удаление. Нажмите на кнопку «Да».

Учетные данные удалены и больше не будут использоваться.

Редактирование существующих учетных данных

Чтобы изменить сведения о существующих учетных данных, как и в случае с удалением, найдите их и раскройте. Далее нажмите «Изменить».

После редактирования не забудьте нажать на кнопку «Сохранить», чтобы изменения вступили в силу.

Заключение

Как видим, «Диспетчер учетных данных» играет важную роль на вашем компьютере. Единственное, я пока не выяснил, насколько хорошо зашифрованы эти данные, поэтому буду и дальше изучать этот инструмент, и напишу о нем по крайней мере еще одну статью.

Как почистить диспетчер учетных данных windows 10

Вопрос

Столкнулся вот с такой вот проблемой.

Пользователи работающие на компьютере (их около 2000) с операционной системой Windows 7 начали жаловаться на то что после смены пароля в домене через некоторое время отваливается Outlook и Lync Client. Было выявлено что сие происходит из-за сохраненных в Диспетчер учётных данных данных этих пользователей и было принято остановить службу Диспетчер учетных данных через GPO. Но не тут то было 🙂 если у кого-то были сохранены данные в Диспетчере учетных данных то они всё равно подставляются даже после остановки службы и выявляются выше перечисленные проблемы.

Помогает только одно включение на машине службы Диспетчер учетных данных далее вручную вычищение хранилища и далее стоп сервиса.

Скажите можно ли как-то автоматизировать данные процесс? Или есть какое-нить другое решение которое бы помогло справиться с данной неприятностью?

Ответы

Все ответы

Из поисков по интернету понял что все сохраненные Учётки можно посмотреть при помощи команды cmdkey, а также при помощи неё удалить учётные данные из хранилища, загвоздка в том что у каждого пользователя эта информация уникальна, а возможности удалить все данные из хранилища нету.

Спасибо, но этот вариант не подходит. В домене около 2000 ПК и Вы предлагаете периодически бегать по всем ПК и удалять руками?

Господа есть ещё предложения?

Я предлагаю приучить себя быть более внимательным и собранным. В решении , которое я вам привел, предлагается взять psexec и вытереть скрытые данные в диспетчере. Вы можете сделать это, натравив psexec на список ваших машин, либо напишите скрипт в две строчки и повесьте его в автозагрузку. Если вы не умеете пользоваться групповой политикой и psexec, и вам не хочется периодически бегать по всем машинам, напишите, попробую придумать для вас еще варианты. С ходу- Winrm еще можно.

А причем здесь скрытые учетные данные? Данный вопрос до сих пор актуален во многих организациях, имеющих домен и политику регулярной смены пароля.

Любые попытки отправить команду получения информации об учетных данных удаленного компьютера к желаемому результату не приводят.

На данный момент, изучив проблему и просмотрев всеразличные попытки решения этой проблемы, я пришел к выводу что варианта всего два:

1. Собственно бегать и руками удалять учетные данные Outlook в Credential Manager’е

2. Писать логон-скрипт, проверяющий и удаляющий эти учетные данные при помощи утилиты cmdkey на каждом пк.

Ни один из данных способов не является рациональным и приемлемым для большинства организаций, первый в силу трудоёмкости, второй соответственно, в силу стандартов безопасности.

Решение, предлагаемое Microsoft в таких случаях (Кэшированные учетные данные не обновляются при изменении пароля в Windows, kb2845626) , желаемого эффекта не дает, на всех машинах стоят более свежие версии файла Kerberos.dll, подразумевающие, как я полагаю, наличие данной заплатки в этих файлах.

Если есть иные способы решения данной проблемы, будьте добры, поделитесь, это насущный открытый вопрос.