Каков стандартный отраслевой метод администрирования изменения пароля локального администратора для всех машин в домене?

Хотя, как представляется, существует три доступных варианта, один из которых действительно безопасен, представляется, что есть только два доступных варианта, которые смогут повлиять на машины, которые не были включены в момент изменения или являются мобильными и не были в сети. во время перемен. Ни один из этих двух вариантов не является безопасным вариантом. Мне известны три варианта:

1. Скрипты запуска с .vbs
2. GPO с использованием настроек групповой политики
3. Скрипт Powershell как плановое задание.

Я отказываюсь от опции Powershell, потому что не знаю, как эффективно нацеливать / повторять и отклонять уже измененные машины, все машины в сети и какое влияние это окажет на ненужные издержки сети, хотя это, вероятно, лучшее доступное решение. поскольку сам пароль может храниться в контейнере CipherSafe.NET (стороннее решение), а пароль передается в сценарий на целевой компьютер. Я не проверял, может ли Powershell получить пароль из диспетчера учетных данных локальной машины Windows для использования в сценарии или можно ли сохранить пароль для использования вместе со сценарием.

Опция сценария .vbs небезопасна, поскольку пароль хранится в виде открытого текста в общей папке SYSVOL, которая доступна для любого доменного компьютера в сети. Любой, кто ищет заднюю дверь и с небольшим количеством Google найдет эту дверь, если достаточно настойчивый.

Опция GPO также небезопасна, как отмечается в этой заметке MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Я ищу решение стороннего производителя, которое, по моему мнению, должно быть доступно или может быть разработано собственными силами с необходимыми знаниями или руководством.

Я собираюсь пойти дальше и принять мой комментарий в answertown.

Это должна быть третья сторона. Как вы уже указали, ни один из трех упомянутых вами вариантов не является оптимальным. Microsoft не предоставляет идеальный способ сделать это. Там просто нет одного. Это будет третья сторона, и она почти наверняка потребует от вас установки программного агента на всех ваших клиентах.

Я разработал решение именно для этой проблемы (за исключением того, что оно работало одновременно во многих лесах и доменах), и оно включало VBscript для максимальной совместимости с как можно большим количеством различных версий Windows, а также с некоторыми битами C #, а также с третьей сторонний программный агент, который, к счастью, компания уже использовала для целей мониторинга и поэтому была уже установлена ​​на каждой машине, которую я смог использовать.

Кроме того, вы можете просто отключить все локальные учетные записи администратора через GPO, что довольно распространено. Но если что-то пойдет не так с синхронизацией домена на этом члене домена, восстановление будет в большей степени PITA, чем если бы у вас была учетная запись «локального администратора» для восстановления.

Изменить: Просто чтобы уточнить: я смущен, когда вы говорите, что «вы ищете стороннее решение, которое ... должно быть в состоянии разработать у себя дома ...» Я бы рассмотрел все, что не написано Microsoft В качестве встроенного компонента Windows в этом контексте «третье лицо». Можете ли вы сделать это с помощью некоторого умного кода, который использует сетевые коммуникации TLS и хранит секреты в базе данных SQL Server с прозрачным шифрованием данных с помощью сложной функции хеширования, которая генерирует уникальный пароль для каждой машины? ДА. Он встроен в Windows без каких-либо усилий с вашей стороны? NO. :)

Что касается опции GPO, статья Microsoft, которую вы указали ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ), указывает в своей документации (загрузите файл Documentation.zip) следующее:

Передача пароля с управляемого компьютера в Active Directory защищена шифрованием Kerberos, поэтому невозможно узнать пароль, прослушивая сетевой трафик.

Подробная техническая спецификация - Управление паролем локальной учетной записи администратора - страница 5

Возможно, определение статьи не обновлено, поэтому я говорю, что вы посмотрите документацию и, возможно, проведете некоторое тестирование, анализируя трафик, так что вы можете быть уверены.