Làm cách nào để giữ mật khẩu quản trị viên cục bộ nhất quán trên OU?

Chúng tôi có một số PC chạy XP SP2 (và một vài máy chạy SP1) đã được sản xuất và chúng tôi đang tìm cách giữ mật khẩu của quản trị viên cục bộ nhất quán trên OU. Các giải pháp duy nhất tôi có thể nghĩ đến là sử dụng pspassword để thay đổi tất cả mật khẩu của họ hoặc có một tập lệnh chứa mật khẩu chạy cục bộ trên PC.

Thật không may, pspasswd sẽ không hoạt động trên các máy tính không trực tuyến và tập lệnh cục bộ chứa mật khẩu sẽ không an toàn.

Có giải pháp khả thi nào khác không? Làm cách nào tôi có thể tài khoản cho các máy tính không trực tuyến tại thời điểm thay đổi mật khẩu?

Mặc dù không có cài đặt Chính sách nhóm nào có thể thực hiện việc này, nhưng có cài đặt Tùy chọn chính sách nhóm sẽ. Thêm thông tin tại đây: http://bloss.technet.com/askds/archive/2007/11/28/int sinhing-group -policy-preferences.aspx

Chỉnh sửa: Một tùy chọn khác là sử dụng tiện ích Passgen mà Steve Riley và Jesper Johannson (cả hai trước đây từ Microsoft) đã viết cho cuốn sách "Bảo vệ mạng Windows của bạn". Nó thực sự đặt mật khẩu quản trị viên cục bộ duy nhất cho mỗi máy tính trong miền (an toàn hơn nhiều ... nếu bạn có tất cả giống nhau, sự thỏa hiệp của một máy tính có nghĩa là sự thỏa hiệp của tất cả các máy tính trong miền của bạn). Từ mô tả:

Trong cuốn sách, chúng tôi khuyên bạn nên duy trì mật khẩu riêng trên mỗi tài khoản dịch vụ và quản trị viên cục bộ trong doanh nghiệp của mình. Tất nhiên, điều này gần như không thể quản lý nếu không có thứ gì đó để tự động hóa nó cho bạn. Đó là những gì Passgen làm. Công cụ tạo mật khẩu duy nhất dựa trên đầu vào đã biết (mã định danh và cụm mật khẩu bạn xác định), đặt các mật khẩu đó từ xa và cho phép bạn truy xuất chúng sau này.

Passgen là miễn phí và bạn có thể lấy nó ở đây: http://bloss.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Tôi không chắc chắn những gì bạn đang tìm kiếm ở đây vì sẽ khó triển khai giải pháp thay đổi mật khẩu tài khoản cục bộ, "bằng cách nào đó" sẽ hoạt động cho các tài khoản máy tính trực tuyến và ngoại tuyến. Quá trình sẽ là nếu đó là một tập lệnh hoặc GP thực tế, để họ thay đổi mật khẩu tại 'một số điểm' khi họ trực tuyến. Nếu bạn muốn triển khai điều này như một hành động một lần trên một khung thời gian nhất định, bạn sẽ phải thực hiện các máy tính ngoại tuyến theo cách thủ công.

Tôi chắc rằng bạn có thể đã đọc nó, nhưng đây là một số giải pháp được đề xuất trong câu hỏi trước liên quan đến câu hỏi của bạn: /server/23490/is-there-a-group-policy-that -would-push-a-new-user-name-and-password-to-all-local

Chúng tôi đẩy mật khẩu cục bộ ra bằng tập lệnh Powershell Set-LocalPassword.ps1 và lấy danh sách máy chủ bằng Get-OUComputerNames.ps1 .

Nhanh chóng, đơn giản và mật khẩu không phải ngồi chờ đợi để được tìm thấy.

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

Tuy nhiên, giải pháp này không bao gồm trường hợp khi tắt máy. Mặc dù nó sẽ đủ đơn giản để tạo một danh sách các máy không thể ping và xử lý chúng sau này.

Chúng tôi làm điều này thông qua Chính sách nhóm.

Tôi không biết chi tiết cụ thể về cách tạo GPO, nhưng nó nằm trong phần:

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts 

Có các cài đặt để cho phép vô hiệu hóa tài khoản khách và đổi tên tài khoản quản trị viên cục bộ.

EDIT: Tôi sai chính tả về việc thay đổi mật khẩu cục bộ.

Thay đổi mật khẩu quản trị viên cục bộ phức tạp hơn một chút, ít nhất là cho đến Windows Server 2008. Giải pháp này hoạt động trên Server 2003 và hơi khó hiểu khi nó gửi mật khẩu mới bằng văn bản thuần túy. Nếu điều đó làm bạn lo lắng, có những lựa chọn thay thế khác mã hóa nhưng cần phần mềm bổ sung. Chúng tôi giải quyết vấn đề bằng cách để nó bị vô hiệu hóa trừ khi chúng tôi cần thay đổi.

1- viết một tệp bó 1 dòng .. với lệnh "NET USER Administrator% 1" - nếu bạn đổi tên tài khoản, hãy sử dụng tên mới.

2- đặt tệp bó để chạy khi đăng nhập bằng GPO, trong phần sau

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- Trong mục GPO, nhấn nút để hiển thị các tệp và sao chép tệp bó vào vị trí đã mở. Sau đó, tệp bó (bao gồm .bat) làm tên tập lệnh và mật khẩu mới làm tham số.

Tôi sẽ chỉ cho bạn câu trả lời của tôi tại: Có chính sách nhóm nào sẽ đẩy tên người dùng và mật khẩu mới cho tất cả các máy cục bộ trên mạng không?

Bạn có thể triển khai một tập lệnh như vậy với các quyền được đặt thành chỉ cho phép "Máy tính miền" đọc tập lệnh (hoặc một nhóm thậm chí hạn chế hơn, nếu bạn muốn) và thiết lập một nhóm "bẫy" như tôi mô tả để bạn có thể biết khi nào tất cả các máy tính đã xử lý tập lệnh sao cho bạn có thể xóa nó. Kịch bản sẽ thực thi cục bộ trên các máy tính chủ đề, nhưng chỉ có thể truy cập vào bối cảnh bảo mật của máy tính. (Tuy nhiên, nếu người dùng có "Quản trị viên" trên máy của họ, thì đây sẽ là một vấn đề. Tuy nhiên, nếu họ có "Quản trị viên", thì bạn gặp vấn đề lớn hơn so với việc đặt mật khẩu "Quản trị viên" cục bộ. Có lẽ, người dùng đã thiết lập các phương thức để đảm bảo cho họ khả năng lấy lại quyền "Quản trị viên" sau khi bạn thay đổi mật khẩu Quản trị viên cục bộ ... Tôi sẽ!

Ở một mặt hoàn toàn khác, bạn có thể làm một cái gì đó điên rồ như một kịch bản phía máy chủ:

• Thăm dò một nhóm bảo mật AD cho tên máy tính thành viên
• Nỗ lực PING / "NET USE" / etc mỗi máy tính trong danh sách để xác định xem chúng có "trực tuyến" không
• Thực hiện "PSPASSWD" đối với máy tính từ xa nếu xác định nó là "trực tuyến"
• Xóa mọi máy tính đã hoàn thành việc đặt lại mật khẩu khỏi nhóm bảo mật
• Ngủ trong một khoảng thời gian và lặp lại nếu nhóm chưa trống

Điều đó sẽ giữ cho tập lệnh thực thi trên một máy chủ.

Tôi sẽ chỉ sử dụng mật khẩu thay đổi tập tin hàng loạt đơn giản và chuyển đổi tập tin đó thành exe hoặc một cái gì đó bằng cách sử dụng AutoHotKey hoặc AutoIT Script. Sau đó cấu hình tập lệnh này để chạy như tập lệnh khởi động máy tính. Để ngăn mọi người khỏi gián điệp, tôi sẽ sử dụng thủ thuật chỉ trao quyền ĐỌC "Máy tính miền" thay vì "Người dùng được xác thực".

Như Sean Earp đã nói, bạn muốn có một mật khẩu quản trị viên cục bộ duy nhất cho mỗi người, thường xuyên thay đổi.

Một cách khác mà tôi thích (ít nhất là về lý thuyết;) là chỉ cần xóa hoàn toàn tài khoản quản trị viên cục bộ và dựa vào tài khoản miền để quản lý.