Come posso mantenere coerente la password dell'amministratore locale in un'unità organizzativa?

Abbiamo già diversi PC con XP SP2 (e un paio con SP1) già in produzione e stiamo cercando di mantenere coerente la password dell'amministratore locale in tutta l'unità organizzativa. Le uniche soluzioni a cui riesco a pensare sarebbero usare pspassword per cambiare tutte le loro password o avere uno script contenente la password eseguito localmente sui PC.

Sfortunatamente, pspasswd non funzionerà su computer che non sono online e uno script locale contenente la password non sarebbe sicuro.

C'è qualche altra soluzione praticabile? Come posso tenere conto dei computer che non sono online al momento della modifica della password?

Anche se non esiste un'impostazione di Criteri di gruppo in grado di eseguire ciò, esiste un'impostazione di Preferenze di Criteri di gruppo. Maggiori informazioni qui: http://blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

Modifica: un'altra opzione è quella di utilizzare l'utilità Passgen che Steve Riley e Jesper Johannson (entrambi precedentemente di Microsoft) hanno scritto per il loro libro "Proteggi la tua rete Windows". In realtà imposta una password di amministratore locale unica per ogni computer nel dominio (che è molto più sicuro ... se li hai tutti uguali, il compromesso di un computer significa il compromesso di tutti i computer nel tuo dominio). Dalla descrizione:

Nel libro, ti consigliamo di mantenere password separate su ogni amministratore locale e account di servizio della tua azienda. Questo, ovviamente, è quasi impossibile da gestire senza qualcosa per automatizzarlo per te. Questo è quello che fa Passgen. Lo strumento genera password univoche basate su input noti (identificatore e passphrase definiti), imposta tali password in remoto e consente di recuperarle in un secondo momento.

Passgen è gratuito e puoi scaricarlo qui: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Non sono sicuro di ciò che stai cercando, poiché sarebbe difficile distribuire una soluzione di modifica della password dell'account locale che "funzionerà" in qualche modo per gli account di computer online e offline. Il processo sarebbe se si tratta di un vero script o GP, per loro di ottenere la modifica della password a "un certo punto" quando sono online. Se si desidera distribuire questa azione come una sola volta in un determinato intervallo di tempo, è necessario eseguire manualmente i computer offline.

Sono sicuro che probabilmente hai letto questo, ma qui ci sono alcune soluzioni che sono state suggerite in una domanda precedente relativa alla tua: /server/23490/is-there-a-group-policy-that -Ti-push-a-new-user-name e password-to-all-local

Espelliamo le password locali usando lo script Powershell Set-LocalPassword.ps1 e otteniamo l'elenco dei server usando Get-OUComputerNames.ps1 .

Veloce, semplice e la password non deve rimanere in attesa di essere trovata.

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

Tuttavia, questa soluzione non copre il caso in cui una macchina è spenta. Anche se sarebbe abbastanza semplice fare un elenco di macchine non pingabili e gestirle in un secondo momento.

Lo facciamo attraverso Criteri di gruppo.

Non conosco i dettagli su come viene creato l'oggetto Criteri di gruppo, ma è nella sezione:

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts 

Esistono impostazioni per consentire la disabilitazione dell'account guest e la ridenominazione dell'account admin locale.

EDIT: ho sbagliato a parlare di cambiare la password locale.

La modifica della password dell'amministratore locale è un po 'più complicata, almeno fino a Windows Server 2008. Questa soluzione funziona su Server 2003 ed è un po' complicata poiché invia la nuova password in testo semplice. Se questo ti riguarda, ci sono altre alternative che crittografano ma richiedono software aggiuntivo. Risolviamo il problema lasciandolo disabilitato a meno che non sia necessario apportare una modifica.

1- scrivere un file batch di 1 riga .. con il comando "NET USER Administrator% 1" - se si rinomina l'account, utilizzare il nuovo nome.

2- impostare il file batch per l'esecuzione all'accesso utilizzando l'oggetto Criteri di gruppo, nella sezione seguente

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- NELLA voce GPO, premere il pulsante per mostrare i file e copiare il file batch nella posizione aperta. Quindi il file batch (incl .bat) come nome dello script e la nuova password come parametro.

Ti indicherò la mia risposta a: Esiste un criterio di gruppo che invii un nuovo nome utente e password a tutte le macchine locali su una rete?

Potresti distribuire uno script del genere con autorizzazioni impostate per consentire solo a "Domain Computer" di leggere lo script (o un gruppo ancora più restrittivo, se lo desideri) e impostare un gruppo "botola" come descrivo in modo tale che tu possa sapere quando tutti i computer hanno elaborato lo script in modo tale da poterlo eliminare. Lo script verrebbe eseguito localmente sui computer in questione, ma sarebbe accessibile solo al contesto di sicurezza del computer. (Se gli utenti dispongono di "Amministratore" sui loro computer, tuttavia, questo sarà un problema. Se dispongono di "Amministratore", tuttavia, hai problemi più grandi rispetto alle password "Amministratore" non impostate. Presumibilmente, gli utenti hanno già impostato i metodi per garantire loro la possibilità di riottenere i diritti di "Amministratore" dopo aver modificato la password dell'amministratore locale ... Lo farei!

Su un fronte completamente diverso, potresti fare qualcosa di folle come uno script lato server che:

• Esegue il polling di un gruppo di sicurezza AD per i nomi dei computer membri
• Tenta di eseguire il PING / "NET USE" / ecc. Ogni computer nell'elenco per determinare se sono "online"
• Esegue un "PSPASSWD" sul computer remoto se determina che è "online"
• Rimuovere tutti i computer che hanno completato correttamente la reimpostazione della password dal gruppo di sicurezza
• Dormire per un periodo e ripetere se il gruppo non è ancora vuoto

Ciò manterrebbe l'esecuzione dello script su un server.

Vorrei solo usare un semplice file batch cambiando la password e convertire quel file in exe o qualcosa usando AutoHotKey o AutoIT Script. Quindi configurare questo script per l'esecuzione come script di avvio del computer. Per impedire alle persone di spiare userei il trucco di dare solo i diritti di LETTURA "Computer di dominio" anziché "Utenti autenticati".

Come diceva Sean Earp, vuoi avere una password di amministratore locale unica per ognuno, regolarmente cambiata.

Un altro modo che preferisco (almeno in teoria;) è semplicemente eliminare completamente gli account dell'amministratore locale e fare affidamento sugli account di dominio per la gestione.