Как сохранить постоянный пароль локального администратора в подразделении?

У нас есть несколько компьютеров с XP SP2 (и пара с SP1), которые уже находятся в производстве, и мы стремимся обеспечить согласованность пароля локального администратора в подразделении. Единственное решение, которое я могу придумать, - это использование pspassword для изменения всех их паролей или наличие сценария, содержащего пароль, который запускается локально на ПК.

К сожалению, pspasswd не будет работать на компьютерах, которые не подключены к сети, и локальный скрипт, содержащий пароль, будет небезопасным.

Есть ли другое жизнеспособное решение? Как я могу учесть компьютеры, которые не подключены к сети во время смены пароля?

Хотя нет параметра групповой политики, который может сделать это, есть параметр предпочтений групповой политики, который будет. Более подробная информация здесь: http://blogs.technet.com/askds/archive/2007/11/28/introduction-group-policy-preferences.aspx

Изменить: Еще один вариант - использовать утилиту Passgen, которую Стив Райли и Джеспер Йоханнсон (оба из Microsoft) написали для своей книги «Защитите свою сеть Windows». На самом деле он устанавливает уникальный пароль локального администратора для каждого компьютера в домене (который намного более безопасен ... если у вас все они одинаковые, компрометация одного компьютера означает компрометацию всех компьютеров в вашем домене). Из описания:

В этой книге мы рекомендуем хранить отдельные пароли для каждого локального администратора и учетной записи службы на вашем предприятии. Это, конечно, почти невозможно обойтись без чего-то, что автоматизирует это для вас. Это то, что делает Пассген. Инструмент генерирует уникальные пароли на основе известного ввода (идентифицируемый вами идентификатор и фраза-пароль), устанавливает эти пароли удаленно и позволяет получить их позже.

Passgen бесплатный, и вы можете получить его здесь: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Я не уверен, что вы ищете здесь, так как было бы трудно развернуть решение по изменению пароля локальной учетной записи, которое «так или иначе» будет работать для сетевых и автономных учетных записей компьютеров. Процесс будет, если это настоящий сценарий или GP, чтобы они могли сменить пароль в «определенный момент», когда они в сети. Если вы хотите развернуть это как одноразовое действие на определенном таймфрейме, вам придется вручную отключать компьютеры.

Я уверен, что вы, вероятно, читали это, но вот некоторые решения, которые были предложены в предыдущем вопросе, связанном с вашим: /server/23490/is-there-a-group-policy-that имя -would-толчок-а-нового пользователя и пароль-к-все-местный

Мы выдвигаем локальные пароли, используя скрипт Powershell Set-LocalPassword.ps1, и получаем список серверов, используя Get-OUComputerNames.ps1 .

Быстро, просто, и пароль не должен сидеть сложа руки в ожидании, чтобы быть найденным.

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

Однако это решение не распространяется на случай, когда машина выключена. Хотя было бы достаточно просто составить список машин, недоступных для пинга, и разобраться с ними позже.

Мы делаем это через групповую политику.

Я не знаю специфику создания объекта групповой политики, но это в разделе:

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts 

Существуют настройки, позволяющие отключить гостевую учетную запись и переименовать учетную запись локального администратора.

РЕДАКТИРОВАТЬ: Я оговорился об изменении локального пароля.

Изменить пароль локального администратора немного сложнее, по крайней мере, до Windows Server 2008. Это решение работает на Server 2003 и представляет собой небольшой шаг, поскольку отправляет новый пароль в виде простого текста. Если это касается вас, есть другие альтернативы, которые шифруют, но нуждаются в дополнительном программном обеспечении. Мы решаем проблему, оставляя ее отключенной, если только нам не нужно вносить изменения.

1 - запишите 1-строчный пакетный файл .. с помощью команды «NET USER Administrator% 1» - если вы переименуете учетную запись, используйте новое имя.

2 - установите пакетный файл для запуска при входе в систему с помощью объекта групповой политики, в следующем разделе

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- В записи объекта групповой политики нажмите кнопку, чтобы отобразить файлы, и скопируйте пакетный файл в открытое местоположение. Затем пакетный файл (включая .bat) в качестве имени скрипта и новый пароль в качестве параметра.

Я собираюсь указать вам на мой ответ: есть ли групповая политика, которая будет выдвигать новое имя пользователя и пароль на все локальные машины в сети?

Вы можете развернуть такой сценарий с установленными разрешениями, позволяющими только «Доменным компьютерам» читать сценарий (или, если хотите, еще более строгой группой) и настроить группу «люка», как я описываю, так, чтобы вы могли знать, когда все компьютеры обработали сценарий так, что вы можете удалить его. Сценарий будет выполняться локально на подчиненных компьютерах, но будет доступен только для контекста безопасности компьютера. (Однако, если у пользователей есть «Администратор» на своих машинах, то это будет проблемой. Однако, если у них есть «Администратор», у вас есть большие проблемы, чем неустановленные локальные «Администраторские» пароли. Предположительно, пользователи уже имеют методы настройки чтобы гарантировать им возможность восстановить права «Администратор» после изменения пароля локального администратора ... Я бы!

С другой стороны, вы могли бы сделать что-то сумасшедшее, например серверный скрипт, который:

• Опрос группы безопасности AD для имен компьютеров членов
• Попытки PING / "NET USE" / etc для каждого компьютера в списке, чтобы определить, находятся ли они в сети
• Выполняет «PSPASSWD» для удаленного компьютера, если он определяет, что он «в сети»
• Удалите все компьютеры, которые успешно выполнили сброс пароля из группы безопасности.
• Спите какое-то время и повторите, если группа еще не пуста

Это будет держать сценарий на сервере.

Я бы просто использовал простой пакетный файл для смены пароля и конвертировал этот файл в exe или что-то еще, используя AutoHotKey или AutoIT Script. Затем настройте этот сценарий для запуска в качестве сценария запуска компьютера. Чтобы запретить людям шпионить, я бы использовал трюк, заключающийся в том, чтобы дать только «Доменным компьютерам» права ЧТЕНИЯ вместо «Аутентифицированных пользователей».

Как сказал Шон Эрп, вы хотите иметь уникальный пароль локального администратора для каждого, который регулярно меняется.

Другой способ, который я предпочитаю (по крайней мере, теоретически;), - это просто полностью удалить учетные записи локального администратора и полагаться на учетные записи домена для управления.