Meskipun tampaknya ada tiga opsi yang tersedia, salah satunya sebenarnya aman, tampaknya hanya ada dua pilihan yang tersedia yang akan dapat berdampak pada mesin yang tidak dinyalakan pada saat perubahan atau mobile dan tidak pada jaringan pada saat perubahan. Tak satu pun dari keduanya tampaknya menjadi opsi yang aman. Tiga opsi yang saya ketahui adalah:
- Skrip startup dengan .vbs
- GPO menggunakan Preferensi Kebijakan Grup
- Script Powershell sebagai tugas yang dijadwalkan.
Saya mengabaikan opsi Powershell karena saya tidak tahu cara menargetkan / beralih secara efektif, dan memberhentikan mesin yang sudah berubah, semua mesin di jaringan dan dampak apa yang akan terjadi pada overhead jaringan yang tidak perlu, meskipun itu mungkin solusi terbaik yang tersedia karena kata sandi itu sendiri dapat disimpan dalam wadah CipherSafe.NET (solusi pihak ketiga) dan kata sandi diteruskan ke skrip ke mesin yang ditargetkan. Saya belum memeriksa untuk melihat apakah Powershell bisa mendapatkan kata sandi dari Manajer Kredensial mesin Windows lokal untuk digunakan dalam skrip atau apakah mungkin untuk menyimpan kata sandi di sana untuk digunakan dengan skrip juga.
Opsi skrip .vbs tidak aman karena kata sandi disimpan dalam teks yang jelas di bagian SYSVOL yang tersedia untuk mesin domain apa pun di jaringan. Siapa pun yang mencari untuk menemukan pintu belakang dan dengan sedikit Google akan menemukan pintu itu jika cukup gigih.
Opsi GPO juga tidak aman seperti yang dicatat oleh catatan MSDN ini: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789
Saya mencari solusi pihak ketiga yang menurut saya harus tersedia atau dapat dikembangkan sendiri dengan pengetahuan atau panduan yang tepat.