Sebbene sembrino esserci tre opzioni disponibili, una delle quali è effettivamente sicura, sembrano esserci solo due scelte disponibili che saranno in grado di avere un impatto su macchine che non sono accese al momento del cambiamento o sono mobili e non erano in rete al momento del cambiamento. Nessuna delle due sembra essere un'opzione sicura. Le tre opzioni di cui sono a conoscenza sono:
- Script di avvio con .vbs
- Oggetto Criteri di gruppo utilizzando Preferenze criteri di gruppo
- Script Powershell come attività pianificata.
Respingo l'opzione Powershell perché non so come scegliere come target / iterare in modo efficace e chiudere le macchine già modificate, tutte le macchine sulla rete e quale impatto avrebbe sull'overhead di rete non necessario, anche se è probabilmente la migliore soluzione disponibile poiché la password stessa può essere archiviata in un contenitore CipherSafe.NET (soluzione di terze parti) e la password passata allo script al computer di destinazione. Non ho verificato se Powershell è in grado di ottenere una password dal Gestore credenziali di un computer Windows locale da utilizzare nello script o se è possibile memorizzare una password da utilizzare con lo script.
L'opzione di script .vbs non è sicura perché la password è memorizzata in chiaro nella condivisione SYSVOL che è disponibile per qualsiasi macchina di dominio sulla rete. Chiunque stia cercando una porta sul retro e con un po 'di Google troverà quella porta se abbastanza persistente.
L'opzione GPO è anche insicura come indicato da questa nota MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789
Sto cercando una soluzione non di terze parti che penso dovrebbe essere disponibile o in grado di essere sviluppata internamente con la giusta conoscenza o guida.