Active-Directory

管理域上所有電腦的本地管理員密碼更改的行業標準方法是什麼?

  • June 28, 2013

儘管似乎有三個可用選項,其中一個實際上是安全的,但似乎只有兩個可用選項能夠影響在更改時未開機或移動且未連接到網路的機器在變化的時候。兩者似乎都不是一個安全的選擇。我知道的三個選項是:

  1. 帶有 .vbs 的啟動腳本
  2. GPO 使用組策略首選項
  3. Powershell 腳本作為計劃任務。

我取消了 Powershell 選項,因為我不知道如何有效地定位/迭代,並取消已經更改的機器、網路上的所有機器以及這會對不必要的網路成本產生什麼影響,即使它可能是最好的可用解決方案因為密碼本身可以儲存在 CipherSafe.NET(第 3 方解決方案)容器中,並將密碼傳遞給腳本到目標機器。我還沒有檢查 Powershell 是否可以從本地 Windows 機器的憑據管理器獲取密碼以在腳本中使用,或者是否可以在此處儲存密碼以供腳本使用。

.vbs 腳本選項不安全,因為密碼以明文形式儲存在 SYSVOL 共享中,網路上的任何域電腦都可以使用該共享。任何想要找到後門並使用一點Google的人都會找到那扇門,如果足夠堅持的話。

如本 MSDN 註釋所述,GPO 選項也不安全:http: //code.msdn.microsoft.com/Solution-for-management-of-ae44e789

我正在尋找一種非第 3 方解決方案,我認為該解決方案應該可用或能夠在具有正確知識或指導的情況下在內部開發。

我將繼續向 answertown 發表我的評論。

它必須是第 3 方。正如您已經指出的那樣,您提到的三個選項都不是最佳的。Microsoft 沒有提供完美的方法來執行此操作。就是沒有。它將是第三方,並且幾乎肯定會涉及您在所有客戶端上安裝軟體代理。

我為這個確切的問題開發了一個解決方案(除了它同時在許多森林和域中工作)並且它確實涉及 VBscript 以最大程度地兼容盡可能多的不同版本的 Windows,以及一些 C# 位,以及第 3 位幸運的是,該公司已經將其用於監控目的,因此已經安裝在我能夠利用的每台機器上。

或者,您可以通過 GPO 禁用所有本地管理員帳戶,這很常見。但是,如果該域成員的域同步出現問題,則恢復將更像是 PITA,而不是您擁有恢復“本地管理員”帳戶。

編輯:只是為了澄清:當你說你“正在尋找一個非 3rd-party 解決方案……應該能夠在內部開發……”我會考慮任何不是由微軟編寫的在此上下文中作為 Windows 的內置組件“第 3 方”。你能用一些聰明的程式碼來做到這一點,這些程式碼使用 TLS 網路通信並將秘密儲存在 SQL Server 數據庫中,並使用一些複雜的散列函式為每台機器生成一個唯一密碼的透明數據加密嗎?是的。它是否內置在 Windows 中,您無需付出任何努力?不。:)

引用自:https://serverfault.com/questions/517400