Mặc dù dường như có ba tùy chọn khả dụng, một trong số đó là thực sự an toàn, dường như chỉ có hai lựa chọn khả dụng sẽ có thể tác động đến các máy không được bật vào thời điểm thay đổi hoặc là thiết bị di động và không có trên mạng tại thời điểm thay đổi. Cả hai dường như là một lựa chọn an toàn. Ba tùy chọn mà tôi biết là:
- Các kịch bản khởi động với .vbs
- GPO sử dụng Tùy chọn chính sách nhóm
- Kịch bản Powershell như một nhiệm vụ theo lịch trình.
Tôi loại bỏ tùy chọn Powershell vì tôi không biết cách nhắm mục tiêu / lặp lại hiệu quả và loại bỏ các máy đã thay đổi, tất cả các máy trên mạng và tác động nào có thể xảy ra đối với chi phí mạng không cần thiết, mặc dù đó có thể là giải pháp khả dụng tốt nhất vì chính mật khẩu có thể được lưu trữ trong một thùng chứa CodesSafe.NET (giải pháp của bên thứ 3) và mật khẩu được chuyển đến tập lệnh đến máy được nhắm mục tiêu. Tôi chưa kiểm tra xem Powershell có thể lấy mật khẩu từ Trình quản lý xác thực của máy Windows cục bộ để sử dụng trong tập lệnh hay không hoặc có thể lưu mật khẩu ở đó để sử dụng với tập lệnh hay không.
Tùy chọn tập lệnh .vbs không an toàn vì mật khẩu được lưu trữ trong văn bản rõ ràng trong chia sẻ SYSVOL có sẵn cho bất kỳ máy miền nào trên mạng. Bất cứ ai đang tìm kiếm một cửa sau và với một chút Google sẽ tìm thấy cánh cửa đó nếu đủ kiên trì.
Tùy chọn GPO cũng không an toàn như được ghi chú bởi ghi chú MSDN này: http://code.msdn.microsoft.com/Solution-for-manloyment-of-ae44e789
Tôi đang tìm kiếm một giải pháp không phải của bên thứ 3 mà tôi nghĩ nên có sẵn hoặc có thể được phát triển trong nhà với kiến thức hoặc hướng dẫn phù hợp.