OU全体でローカル管理者パスワードの一貫性を保つにはどうすればよいですか?
すでに本番環境でXP SP2(およびSP1を実行しているカップル)を実行しているPCが多数あり、ローカル管理者のパスワードをOU全体で一貫性のあるものに保つことを目指しています。私ができる唯一の解決策pspasswordを使用してすべてのパスワードを変更するか、パスワードを含むスクリプトをPC上でローカルに実行することを考えてみてください。
残念ながら、pspasswdはオンラインでないコンピューターでは機能せず、パスワードを含むローカルスクリプトは安全ではありません。
他に実行可能な解決策はありますか?パスワード変更時にオンラインになっていないコンピューターをどのように説明できますか?
これを実行できるグループポリシー設定はありませんが、実行できるグループポリシー設定があります。詳細はこちら: http://blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx
編集:もう1つのオプションは、SteveRileyとJesperJohannson(どちらも以前はMicrosoftから)が著書「ProtectyourWindowsNetwork」のために書いたPassgenユーティリティを使用することです。実際には、ドメイン内の各コンピューターに一意のローカル管理者パスワードを設定します(これは、はるかに安全です...すべて同じである場合、1台のコンピューターの侵害は、ドメイン内のすべてのコンピューターの侵害を意味します)。説明から:
この本では、企業内のすべてのローカル管理者とサービスアカウントで個別のパスワードを維持することをお勧めします。もちろん、これは自動化するものがなければ管理することはほとんど不可能です。それがPassgenが行うことです。このツールは、既知の入力(定義した識別子とパスフレーズ)に基づいて一意のパスワードを生成し、それらのパスワードをリモートで設定して、後で取得できるようにします。
Passgenは無料で、ここから入手できます: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx
オンラインおよびオフラインのコンピューターアカウントで「何らかの形で」機能するローカルアカウントのパスワード変更ソリューションを展開するのは難しいため、ここで何を探しているのかわかりません。プロセスは、それが実際のスクリプトまたはGPである場合、オンラインの「ある時点」でパスワードの変更を取得することです。これを特定の時間枠で1回限りのアクションとして展開する場合は、オフラインコンピューターを手動で実行する必要があります。
あなたはおそらくこれを読んだと思いますが、あなたに関連する前の質問で提案されたいくつかの解決策があります: https://serverfault.com/questions/ 23490/is-there-a-group-policy-that-would-Push-a-new-user-name-and-password-to-all-local
Powershellスクリプト Set-LocalPassword.ps1 を使用してローカルパスワードをプッシュし、 Get-OUComputerNames.ps1 を使用してサーバーのリストを取得します。
すばやく簡単に、パスワードが見つかるのを待つ必要はありません。
Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"
ただし、このソリューションでは、マシンの電源がオフになっている場合は対象外です。 pingできないマシンのリストを作成し、後でそれらを処理するのは簡単ですが。
これは、グループポリシーを通じて行います。
GPOの作成方法の詳細はわかりませんが、次のセクションにあります。
Computer Configuration
/ Windows Settings
/ Security Settings
/ Local Policies/Security Options
/ Accounts
ゲストアカウントの無効化とローカル管理者アカウントの名前変更を許可する設定があります。
編集:ローカルパスワードの変更について間違って話しました。
ローカル管理者パスワードの変更は、少なくともWindows Server 2008までは、もう少し複雑です。このソリューションはServer 2003で機能し、新しいパスワードをプレーンテキストで送信するので少し手間がかかります。それが気になる場合は、暗号化するが追加のソフトウェアを必要とする他の選択肢があります。変更する必要がない限り、無効のままにして問題に対処します。
1-コマンド「NetUserAdministrator%1」を使用して、1行のバッチファイルを書き込みます。アカウントの名前を変更する場合は、新しい名前を使用します。
2-次のセクションで、GPOを使用してログオン時に実行するようにバッチファイルを設定します
Computer Configuration
/ Windows Settings
/ Scripts
/ Startup
3- GPOエントリで、ボタンを押してファイルを表示し、開いた場所にバッチファイルをコピーします。次に、スクリプト名としてバッチファイル(.batを含む)と新しいパラメータとしてのパスワード。
私の答えを次のように示します。 ネットワーク上のすべてのローカルマシンに新しいユーザー名とパスワードをプッシュするグループポリシーはありますか?
「ドメインコンピュータ」がスクリプト(または必要に応じてさらに制限の厳しいグループ)を読み取ることのみを許可するように設定されたアクセス許可でこのようなスクリプトを展開し、すべてのときにわかるように「トラップドア」グループを設定できます。コンピューターは、スクリプトを削除できるようにスクリプトを処理しました。スクリプトは対象のコンピューター上でローカルに実行されますが、コンピューターのセキュリティコンテキストにのみアクセスできます。 (ただし、ユーザーが自分のマシンに「管理者」を持っている場合、これは問題になります。ただし、「管理者」を持っている場合は、ローカルの「管理者」パスワードを設定しないよりも大きな問題があります。おそらく、ユーザーはすでにメソッドを設定しています。ローカル管理者パスワードを変更した後、「管理者」権限を取り戻すことができることを保証するために...私はそうします!> smile <)
まったく別の面では、サーバーサイドスクリプトのようなクレイジーなことを行うことができます。
- メンバーのコンピューター名についてADセキュリティグループをポーリングします
- リスト内の各コンピューターをPING /「NetUse」などで「オンライン」かどうかを判断しようとします
- リモートコンピュータが「オンライン」であると判断した場合、リモートコンピュータに対して「PSPASSWD」を実行します
- パスワードのリセットを正常に完了したコンピューターをセキュリティグループから削除します
- しばらく寝て、グループがまだ空でない場合は繰り返します
これにより、スクリプトはサーバー上で実行され続けます。
パスワードを変更する単純なバッチファイルを使用し、AutoHotKeyまたはAutoITスクリプトを使用してそのファイルをexeファイルなどに変換します。次に、このスクリプトをコンピューターのスタートアップスクリプトとして実行するように構成します。人々がスパイするのを防ぐために、私は「認証されたユーザー」の代わりに「ドメインコンピュータ」に読み取り権限のみを与えるというトリックを使用します。
Sean Earpが言ったように、定期的に変更される、それぞれに固有のローカル管理者パスワードが必要です。
私が好むもう1つの方法は(少なくとも理論的には;)、ローカル管理者アカウントを完全に削除し、管理をドメインアカウントに依存することです。