Bagaimana cara menjaga agar kata sandi admin lokal konsisten di seluruh OU?

Kami memiliki sejumlah PC yang menjalankan XP SP2 (dan beberapa yang menjalankan SP1) sudah dalam produksi, dan kami ingin menjaga agar kata sandi administrator lokal konsisten di seluruh OU. Satu-satunya solusi yang dapat saya pikirkan adalah menggunakan pspassword untuk mengubah semua kata sandi mereka, atau membuat skrip yang berisi kata sandi dijalankan secara lokal di PC.

Sayangnya, pspasswd tidak akan berfungsi di komputer yang tidak daring dan skrip lokal yang berisi kata sandi tidak aman.

Apakah ada solusi lain yang layak? Bagaimana saya bisa menghitung komputer yang tidak online saat perubahan kata sandi?

Meskipun tidak ada pengaturan Kebijakan Grup yang dapat melakukan ini, ada pengaturan Preferensi Kebijakan Grup yang akan melakukannya. Informasi lebih lanjut di sini: http://blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

Sunting: Satu opsi lain adalah menggunakan utilitas Passgen yang ditulis Steve Riley dan Jesper Johannson (keduanya dulunya dari Microsoft) untuk buku mereka "Protect your Windows Network". Ini sebenarnya menetapkan kata sandi administrator lokal unik untuk setiap komputer dalam domain (yang jauh lebih aman ... jika Anda memiliki semuanya sama, kompromi satu komputer berarti kompromi semua komputer di domain Anda). Dari uraian:

Dalam buku ini, kami menyarankan Anda untuk menjaga kata sandi terpisah pada setiap administrator lokal dan akun layanan di perusahaan Anda. Ini, tentu saja, hampir tidak mungkin untuk dikelola tanpa sesuatu untuk mengotomatiskannya untuk Anda. Itu yang dilakukan Passgen. Alat ini menghasilkan kata sandi unik berdasarkan input yang dikenal (pengidentifikasi dan frasa sandi yang Anda tentukan), menetapkan kata sandi tersebut dari jarak jauh, dan memungkinkan Anda untuk mengambilnya nanti.

Passgen gratis, dan Anda bisa mendapatkannya di sini: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Saya tidak yakin apa yang Anda cari di sini karena akan sulit untuk menggunakan solusi perubahan kata sandi akun lokal yang akan 'entah bagaimana' bekerja untuk akun komputer online dan offline. Prosesnya adalah apakah itu skrip atau GP yang sebenarnya, bagi mereka untuk mendapatkan perubahan kata sandi di 'beberapa titik' ketika sedang online. Jika Anda ingin menggunakan ini sebagai tindakan satu kali pada jangka waktu tertentu, Anda harus melakukan komputer offline secara manual.

Saya yakin Anda mungkin pernah membaca ini, tetapi berikut adalah beberapa solusi yang disarankan dalam pertanyaan sebelumnya terkait dengan Anda: /server/23490/is-there-a-group-policy-that -akan-mendorong-nama-pengguna-baru-dan-kata sandi-untuk-semua-lokal

Kami mendorong kata sandi lokal menggunakan script Powershell Set-LocalPassword.ps1 dan mendapatkan daftar server menggunakan Get-OUComputerNames.ps1 .

Cepat, sederhana, dan kata sandi tidak perlu menunggu untuk ditemukan.

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

Namun solusi ini tidak mencakup kasing saat mesin dimatikan. Meskipun itu akan cukup sederhana untuk membuat daftar mesin un-pingable dan menanganinya nanti.

Kami melakukan ini melalui Kebijakan Grup.

Saya tidak tahu secara spesifik bagaimana GPO dibuat, tetapi ada di bagian:

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts 

Ada pengaturan untuk memungkinkan penonaktifan akun tamu dan penggantian nama akun admin lokal.

EDIT: Saya salah bicara tentang mengubah kata sandi lokal.

Mengubah kata sandi admin lokal sedikit lebih rumit, setidaknya sampai Windows Server 2008. Solusi ini berfungsi pada Server 2003, dan sedikit kludge karena mengirim kata sandi baru dalam teks biasa. Jika itu menyangkut Anda, ada alternatif lain yang mengenkripsi tetapi membutuhkan perangkat lunak tambahan. Kami mengatasi masalah ini dengan membiarkannya dinonaktifkan kecuali kami perlu melakukan perubahan.

1- menulis file batch 1 baris .. dengan perintah "NET USER Administrator% 1" - jika Anda mengganti nama akun, gunakan nama baru.

2 - mengatur file batch untuk dijalankan pada logon menggunakan GPO, di bagian berikut

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- DALAM entri GPO, tekan tombol untuk menampilkan file, dan salin file batch ke lokasi yang dibuka. Kemudian file batch (termasuk .bat) sebagai nama skrip dan kata sandi baru sebagai parameter.

Saya akan mengarahkan Anda ke jawaban saya di: Apakah ada kebijakan grup yang akan mendorong nama pengguna dan kata sandi baru ke semua mesin lokal di jaringan?

Anda dapat menggunakan skrip seperti itu dengan izin yang disetel untuk hanya mengizinkan "Komputer Domain" untuk membaca skrip (atau grup yang bahkan lebih ketat, jika Anda mau), dan mengatur grup "pintu jebakan" seperti yang saya jelaskan sehingga Anda bisa tahu kapan semua komputer telah memproses skrip sehingga Anda dapat menghapusnya. Script akan dieksekusi secara lokal pada komputer subjek, tetapi hanya akan dapat diakses oleh konteks keamanan komputer. (Namun, jika pengguna memiliki "Administrator" di mesin mereka, maka ini akan menjadi masalah. Jika mereka memiliki "Administrator", Anda memiliki masalah yang lebih besar daripada kata sandi "Administrator" lokal yang tidak disetel. Agaknya, pengguna telah menyiapkan metode untuk menjamin mereka kemampuan mendapatkan kembali hak "Administrator" setelah Anda mengubah kata sandi Administrator lokal ... Saya akan melakukannya!

Di depan yang sama sekali berbeda, Anda bisa melakukan sesuatu yang gila seperti skrip sisi server yang:

• Polling grup keamanan AD untuk nama komputer anggota
• Mencoba untuk PING / "NET USE" / etc setiap komputer dalam daftar untuk menentukan apakah mereka "online"
• Menjalankan "PSPASSWD" terhadap komputer jarak jauh jika itu menentukan "online"
• Hapus semua komputer yang berhasil menyelesaikan pengaturan ulang kata sandi dari grup keamanan
• Tidur sebentar dan ulangi jika grup belum kosong

Itu akan membuat skrip mengeksekusi di server.

Saya hanya akan menggunakan file batch sederhana yang mengubah kata sandi dan mengkonversi file itu menjadi exe atau sesuatu menggunakan AutoHotKey atau AutoIT Script. Kemudian konfigurasikan skrip ini untuk dijalankan sebagai skrip startup komputer. Untuk menghentikan orang dari memata-matai saya akan menggunakan trik hanya memberikan "Domain Computers" BACA hak daripada "Pengguna yang Diotentikasi".

Seperti yang dikatakan Sean Earp, Anda ingin memiliki kata sandi admin lokal yang unik untuk masing-masing, secara berkala diubah.

Cara lain yang saya sukai (setidaknya dalam teori;) adalah dengan menghapus akun administrator lokal sepenuhnya dan mengandalkan akun domain untuk manajemen.