主页 / server / 问题 / 32193
Accepted
Jordan Milne
Asked: 2009-06-27 06:22:41 +0800 CST

如何在 OU 中保持本地管理员密码一致?

  • 772

我们有许多运行 XP SP2 的 PC(还有几台运行 SP1)已经投入生产,我们希望在 OU 中保持本地管理员的密码一致。我能想到的唯一解决方案是使用 pspassword 更改他们的所有密码,或者让包含密码的脚本在 PC 上本地运行。

不幸的是,pspasswd 无法在不在线的计算机上运行,​​并且包含密码的本地脚本将是不安全的。

还有其他可行的解决方案吗?如何处理密码更改时未在线的计算机?

windows active-directory password

7 个回答

  1. Best Answer

    尽管没有可以执行此操作的组策略设置,但有一个组策略首选项设置可以。更多信息在这里:http: //blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

    编辑:另一种选择是使用 Steve Riley 和 Jesper Johannson(均来自 Microsoft)为他们的书“保护您的 Windows 网络”编写的 Passgen 实用程序。它实际上为域中的每台计算机设置了一个唯一的本地管理员密码(这更安全......如果它们都相同,那么一台计算机的危害意味着您域中所有计算机的危害)。从描述:

    在本书中,我们建议您为企业中的每个本地管理员和服务帐户维护单独的密码。当然,如果没有为您自动化的东西,这几乎是不可能管理的。这就是 Passgen 所做的。该工具根据已知输入(您定义的标识符和密码短语)生成唯一密码,远程设置这些密码,并允许您稍后检索它们。

    Passgen 是免费的,您可以在此处获取:http: //blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

    • 5

  2. 我不确定您在这里寻找什么,因为很难部署本地帐户密码更改解决方案,该解决方案将“以某种方式”适用于在线和离线计算机帐户。如果它是一个实际的脚本或 GP,则该过程将是他们在线时在“某个时间点”获取密码更改。如果您想在某个时间范围内将其部署为一次性操作,则必须手动执行离线计算机。

    我确定您可能已经阅读过此内容,但以下是与您的问题相关的上一个问题中建议的一些解决方案:https ://serverfault.com/questions/23490/is-there-a-group-policy-that -would-push-a-new-user-name-and-password-to-all-local

    • 3

  3. 我们使用 Powershell 脚本Set-LocalPassword.ps1推送本地密码,并使用Get-OUComputerNames.ps1 获取服务器列表。

    快速,简单,密码不必坐在那里等待被发现。

    Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

    但是,此解决方案不包括关闭机器时的情况。尽管列出无法ping通的机器列表并稍后处理它们很简单。

    • 2

  4. 我们通过组策略来做到这一点。

    我不知道如何创建 GPO 的具体细节,但它在以下部分: 

     Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts

    有一些设置允许禁用来宾帐户和重命名本地管理员帐户。

    编辑:我说错了更改本地密码。

    更改本地管理员密码要复杂一些,至少在 Windows Server 2008 之前是这样。此解决方案适用于 Server 2003,并且由于它以纯文本形式发送新密码,因此有点麻烦。如果您对此感到担忧,还有其他替代方案可以加密但需要额外的软件。我们通过禁用它来解决这个问题,除非我们需要进行更改。

    1-使用命令“NET USER Administrator %1”编写一个 1 行批处理文件.. - 如果您重命名帐户,请使用新名称。

    2-将批处理文件设置为使用 GPO 在登录时运行,在以下部分中 

     Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

    3- 在 GPO 条目中,按下按钮显示文件,然后将批处理文件复制到打开的位置。然后批处理文件(包括 .bat)作为脚本名称,新密码作为参数。

    插图

    • 1

  5. 我将向您指出我的答案:是否有组策略可以将新的用户名和密码推送到网络上的所有本地计算机?

    您可以部署这样一个脚本,其权限设置为仅允许“域计算机”读取脚本(或者如果您愿意,可以使用更具限制性的组),并按照我的描述设置一个“trapdoor”组,这样您就可以知道何时所有计算机已处理脚本,以便您可以将其删除。该脚本将在主题计算机上本地执行,但只能由计算机的安全上下文访问。(但是,如果用户在他们的机器上有“管理员”,那么这将是一个问题。但是,如果他们有“管理员”,那么与未设置本地“管理员”密码相比,您会遇到更大的问题。大概,用户已经设置了方法以保证他们能够在您更改本地管理员密码后重新获得“管理员”权限......我愿意!

    在完全不同的方面,你可以做一些疯狂的事情,比如服务器端脚本:

    • 轮询 AD 安全组以获取成员计算机名称
    • 尝试对列表中的每台计算机进行 PING /“NET USE”/etc 以确定它们是否“在线”
    • 如果确定远程计算机“在线”,则对远程计算机执行“PSPASSWD”
    • 从安全组中删除所有成功完成密码重置的计算机
    • 睡眠一段时间,如果组还不是空的,则重复

    这将使脚本在服务器上执行。

    • 0

  6. 我只会使用简单的批处理文件更改密码并将该文件转换为 exe 或使用 AutoHotKey 或 AutoIT 脚本的东西。然后将此脚本配置为作为计算机启动脚本运行。为了阻止人们进行间谍活动,我将使用仅授予“域计算机”读取权限而不是“经过身份验证的用户”的技巧。

    • 0

  7. 正如 Sean Earp 所说,您希望每个人都有一个唯一的本地管理员密码,并定期更改。

    我更喜欢的另一种方式(至少在理论上;)是简单地完全删除本地管理员帐户并依靠域帐户进行管理。

    • 0

相关问题