Bir etki alanındaki tüm makineler için yerel yönetici parolasındaki değişikliği yönetmek için endüstri standardı yöntem nedir?

Biri gerçekten güvenli olan üç seçenek var gibi görünse de, değişiklik sırasında açılmayan veya mobil olan ve ağda olmayan makineleri etkileyebilecek sadece mevcut iki seçenek var gibi görünüyor değişim anında. İkisi de güvenli bir seçenek gibi görünmüyor. Farkında olduğum üç seçenek:

1. .Vbs ile başlangıç ​​komut dosyaları
2. Grup İlkesi Tercihlerini kullanan GPO
3. Zamanlanmış görev olarak Powershell betiği.

Powershell seçeneğini reddediyorum çünkü etkili bir şekilde hedeflemeyi / yinelemeyi bilmiyorum ve zaten değiştirilmiş makineleri, ağdaki tüm makineleri ve gereksiz ağ ek yükü üzerinde ne gibi bir etki yaratabileceğini bilmiyorum. çünkü şifrenin kendisi bir CipherSafe.NET (3. taraf çözümü) kapsayıcısında saklanabilir ve şifre, komut dosyasına hedeflenen makineye aktarılabilir. Powershell'in yerel bir Windows makinesinin Kimlik Bilgisi Yöneticisi'nden komut dosyasında kullanmak için bir parola alıp alamayacağını veya komut dosyasıyla birlikte kullanmak üzere bir parola saklamanın mümkün olup olmadığını kontrol etmedim.

.Vbs komut dosyası seçeneği, parola ağdaki herhangi bir etki alanı makinesinin kullanabileceği SYSVOL paylaşımında açık metin olarak saklandığından güvenli değildir. Bir arka kapı ve biraz Google'ı arayan herkes, yeterince kapalıysa bu kapıyı bulacaktır.

GPO seçeneği de bu MSDN notunda belirtildiği gibi güvenli değildir: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Ben doğru bilgi veya rehberlik ile evde mevcut veya geliştirilebilir olması gerektiğini düşünüyorum üçüncü taraf olmayan bir çözüm arıyorum.

Devam edip yorumumu answertown'a götüreceğim.

Üçüncü taraf olması gerekecek. Daha önce de belirttiğiniz gibi, bahsettiğiniz üç seçenekten hiçbirisi optimal değildir. Microsoft bunu yapmak için mükemmel bir yol sağlamaz. Sadece biri yok. Üçüncü taraf olacak ve neredeyse tüm müşterilerinize bir yazılım aracı yüklemenizi içerecektir.

Bu tam sorun için bir çözüm geliştirdim (aynı anda birçok orman ve etki alanında çalıştı, ancak) ve mümkün olduğunca çok sayıda Windows sürümünün yanı sıra bazı C # bitlerinin yanı sıra 3. bir sürümle maksimum uyumluluk için VBscript'i içeriyordu. Neyse ki şirketin zaten izleme amacıyla kullandığı ve bu nedenle kaldırabildiğim her makineye zaten kurulmuş olan parti yazılım aracısı.

Alternatif olarak, GPO üzerinden tüm yerel Yönetici hesaplarını devre dışı bırakabilirsiniz, bu oldukça yaygındır. Ancak, bu etki alanı üyesinde etki alanı eşitlemesinde bir sorun oluşursa, kurtarma işlemi "yerel yönetici" hesabınız olduğundan daha fazla PITA olacaktır.

Düzenleme: Sadece açıklığa kavuşturmak için: "evde geliştirilmesi gerekir ... 3. taraf olmayan bir çözüm arıyor ..." Microsoft tarafından yazılmayan bir şey düşünecektim zaman kafam karıştı Windows'un bu bağlamında yerleşik bir bileşeni olarak "3. taraf." TLS ağ iletişimlerini kullanan ve her makine için benzersiz bir şifre üreten bazı karmaşık karma işleviyle şeffaf veri şifrelemeli sırları bir SQL Server veritabanında saklayan bazı akıllı kodlarla yapabilir misiniz? EVET. Herhangi bir çaba gerektirmeden Windows'a yerleşik mi? HAYIR. :)

GPO seçeneği için, belirttiğiniz Microsoft Makalesi ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) belgelerinde belirtmektedir (Documentation.zip dosyasını indirin):

Yönetilen bilgisayardan Active Directory'ye parola aktarımı Kerberos Şifrelemesi ile korunur, bu nedenle ağ trafiğini koklayarak parolayı bilmek mümkün değildir.

Ayrıntılı Teknik Özellikler - Yerel Yönetici hesabının parola yönetimi - sayfa 5

Belki makale tanımı güncellenmez, bu yüzden belgelere bir göz atın ve trafiği koklarken bazı testler yapın, bu şekilde emin olabilirsiniz.