У нас есть несколько ПК с XP SP2 (и пара с SP1), которые уже находятся в производстве, и мы стремимся обеспечить единообразие пароля локального администратора во всем OU. Единственные решения, о которых я могу думать, - это использование pspassword для изменения всех их паролей или запуск сценария, содержащего пароль, локально на ПК.
К сожалению, pspasswd не будет работать на компьютерах, которые не подключены к сети, и локальный сценарий, содержащий пароль, будет небезопасным.
Есть ли другое жизнеспособное решение? Как я могу учесть компьютеры, которые не подключены к сети на момент смены пароля?
Хотя не существует параметра групповой политики, который может это сделать, есть параметр предпочтений групповой политики, который может это сделать. Больше информации здесь: http://blogs.technet.com/askds/archive/2007/11/28/introduction-group-policy-preferences.aspx
Изменить: Еще один вариант - использовать утилиту Passgen, которую Стив Райли и Джеспер Йохансон (оба ранее из Microsoft) написали для своей книги «Защитите свою сеть Windows». Фактически он устанавливает уникальный пароль локального администратора для каждого компьютера в домене (что намного безопаснее ... если они у вас все одинаковые, компрометация одного компьютера означает компрометацию всех компьютеров в вашем домене). Из описания:
В этой книге мы рекомендовали вам поддерживать отдельные пароли для каждой учетной записи локального администратора и службы на вашем предприятии. Это, конечно, практически невозможно без того, чтобы автоматизировать это за вас. Вот что делает Passgen. Инструмент генерирует уникальные пароли на основе известных входных данных (идентификатора и ключевой фразы, которые вы определяете), устанавливает эти пароли удаленно и позволяет вам получить их позже.
Passgen бесплатен, и вы можете получить его здесь: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx
Я не уверен, что вы здесь ищете, поскольку было бы сложно развернуть решение для изменения пароля локальной учетной записи, которое «каким-то образом» будет работать для учетных записей компьютеров в сети и в автономном режиме. Если это реальный сценарий или GP, то они должны получить изменение пароля в «какой-то момент», когда они подключены к сети. Если вы хотите развернуть это как одноразовое действие в определенный период времени, вам придется выполнять автономные компьютеры вручную.
Я уверен, что вы, вероятно, читали это, но вот несколько решений, которые были предложены в предыдущем вопросе, относящемся к вашему: https://serverfault.com/questions/23490/is-there-a-group-policy-that-would-push-a-new-user-name-and-password-to-all-local
Выталкиваем локальные пароли с помощью скрипта Powershell Set-LocalPassword.ps1 и получить список серверов, используя Get-OUComputerNames.ps1.
Быстро, просто, и пароль не нужно ждать, пока его найдут.
Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"
Однако это решение не распространяется на случай, когда машина выключена. Хотя было бы достаточно просто составить список машин, на которые нельзя пинговать, и разобраться с ними позже.
Я собираюсь указать вам на свой ответ по адресу: Есть ли групповая политика, которая подталкивает новое имя пользователя и пароль ко всем локальным машинам в сети?
Вы можете развернуть такой сценарий с разрешениями, разрешающими только «Компьютерам домена» читать сценарий (или даже более ограниченной группе, если хотите), и настроить группу «лазейки», как я описываю, чтобы вы могли знать, когда все компьютеры обработали сценарий, и вы можете его удалить. Сценарий будет выполняться локально на соответствующих компьютерах, но будет доступен только в контексте безопасности компьютера. (Однако, если у пользователей есть «Администратор» на своих машинах, тогда это будет проблемой. Однако, если у них есть «Администратор», у вас будут большие проблемы, чем сброшенные локальные пароли «Администратора». Предположительно, у пользователей уже есть методы настройки чтобы гарантировать им возможность восстановить права "Администратора" после того, как вы измените пароль локального администратора ... Я бы хотел!> smile <)
С другой стороны, вы можете сделать что-нибудь безумное, например серверный скрипт, который:
Это обеспечит выполнение сценария на сервере.
Я бы просто использовал простой пакетный файл для изменения пароля и преобразовал этот файл в exe или что-то еще с помощью AutoHotKey или AutoIT Script. Затем настройте этот сценарий для запуска как сценарий запуска компьютера. Чтобы не дать людям шпионить, я бы использовал уловку, давая только права ЧТЕНИЯ «Компьютерам домена» вместо «Прошедших проверку пользователей».
Как сказал Шон Эрп, вы хотите иметь уникальный пароль локального администратора для каждого, который регулярно меняется.
Другой способ, который я предпочитаю (по крайней мере, теоретически;), - это просто полностью удалить учетные записи локальных администраторов и полагаться на учетные записи домена для управления.