Sn3*_*3t3 13 scripting powershell active-directory group-policy password-management
尽管似乎有三个可用选项,其中一个实际上是安全的,但似乎只有两个可用选项能够影响更改时未开机或移动且未连接到网络的机器在变化的时候。两者似乎都不是一个安全的选择。我所知道的三个选项是:
我取消了 Powershell 选项,因为我不知道如何有效地定位/迭代,并取消已更改的机器、网络上的所有机器以及会对不必要的网络开销产生什么影响,即使它可能是最好的可用解决方案因为密码本身可以存储在 CipherSafe.NET(第 3 方解决方案)容器中,并且密码传递给目标机器的脚本。我还没有检查 Powershell 是否可以从本地 Windows 计算机的凭据管理器获取密码以在脚本中使用,或者是否可以在那里存储密码以与脚本一起使用。
.vbs 脚本选项是不安全的,因为密码以明文形式存储在 SYSVOL 共享中,该共享可用于网络上的任何域计算机。任何想要找到后门并使用一点谷歌的人都会找到那扇门,如果足够坚持的话。
正如此 MSDN 注释所述,GPO 选项也不安全:http : //code.msdn.microsoft.com/Solution-for-management-of-ae44e789
我正在寻找一种非 3rd 方解决方案,我认为该解决方案应该可用或能够在具有正确知识或指导的情况下在内部开发。
我将继续将我的评论带到 answertown。
它必须是第 3 方。正如您已经指出的那样,您提到的三个选项都不是最佳选择。Microsoft 没有提供执行此操作的完美方法。只是没有一个。它将是第三方,并且几乎肯定会涉及您在所有客户端上安装软件代理。
我为这个确切的问题开发了一个解决方案(除了它同时在许多森林和域中工作)并且它确实涉及 VBscript 以最大程度地兼容尽可能多的不同版本的 Windows,以及一些 C# 位,以及第三个幸运的是,该公司已经用于监控目的的派对软件代理,因此已经安装在每台机器上,我能够利用它。
或者,您可以通过 GPO 禁用所有本地管理员帐户,这很常见。但是,如果该域成员的域同步出现问题,则恢复将比您拥有恢复“本地管理员”帐户更像是 PITA。
编辑:澄清一下:当你说你“正在寻找一个非 3rd 方解决方案......应该能够在内部开发......”时,我很困惑......我会考虑任何不是由 Microsoft 编写的作为 Windows 的内置组件在此上下文中为“第 3 方”。你能用一些聪明的代码来做到这一点,这些代码使用 TLS 网络通信并将秘密存储在 SQL Server 数据库中,使用透明的数据加密和一些复杂的哈希函数为每台机器生成唯一的密码吗?是的。它是否内置于 Windows 中而您无需付出任何努力?不。:)
| 归档时间: |
|
| 查看次数: |
628 次 |
| 最近记录: |