Bagaimana cara menjaga agar kata sandi admin lokal konsisten di seluruh OU?

8

Kami memiliki sejumlah PC yang menjalankan XP SP2 (dan beberapa yang menjalankan SP1) sudah dalam produksi, dan kami ingin menjaga agar kata sandi administrator lokal konsisten di seluruh OU. Satu-satunya solusi yang dapat saya pikirkan adalah menggunakan pspassword untuk mengubah semua kata sandi mereka, atau membuat skrip yang berisi kata sandi dijalankan secara lokal di PC.

Sayangnya, pspasswd tidak akan berfungsi di komputer yang tidak daring dan skrip lokal yang berisi kata sandi tidak aman.

Apakah ada solusi lain yang layak? Bagaimana saya bisa menghitung komputer yang tidak online saat perubahan kata sandi?

windows active-directory password Jordan Milne
sumber

Jawaban:

5

Meskipun tidak ada pengaturan Kebijakan Grup yang dapat melakukan ini, ada pengaturan Preferensi Kebijakan Grup yang akan melakukannya. Informasi lebih lanjut di sini: http://blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

Sunting: Satu opsi lain adalah menggunakan utilitas Passgen yang ditulis Steve Riley dan Jesper Johannson (keduanya dulunya dari Microsoft) untuk buku mereka "Protect your Windows Network". Ini sebenarnya menetapkan kata sandi administrator lokal unik untuk setiap komputer dalam domain (yang jauh lebih aman ... jika Anda memiliki semuanya sama, kompromi satu komputer berarti kompromi semua komputer di domain Anda). Dari uraian:

Dalam buku ini, kami menyarankan Anda untuk menjaga kata sandi terpisah pada setiap administrator lokal dan akun layanan di perusahaan Anda. Ini, tentu saja, hampir tidak mungkin untuk dikelola tanpa sesuatu untuk mengotomatiskannya untuk Anda. Itu yang dilakukan Passgen. Alat ini menghasilkan kata sandi unik berdasarkan input yang dikenal (pengidentifikasi dan frasa sandi yang Anda tentukan), menetapkan kata sandi tersebut dari jarak jauh, dan memungkinkan Anda untuk mengambilnya nanti.

Passgen gratis, dan Anda bisa mendapatkannya di sini: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Sean Earp
sumber
Melihat ini, tidak yakin apakah itu layak karena kami masih memiliki beberapa komputer menggunakan SP1 dan kami harus melakukan peluncuran GPP secara domain untuk membuatnya berfungsi.
Jordan Milne
Artikel MS di blogs.technet.com/b/grouppolicy/archive/2009/04/22/… tidak merekomendasikan penggunaan GPP untuk kata sandi sensitif. "Karena kata sandi disimpan dalam SYSVOL, semua pengguna yang diautentikasi memiliki akses untuk membacanya. Selain itu, kata sandi tersebut dapat dibaca oleh klien dalam perjalanan jika pengguna memiliki izin yang diperlukan."
bshacklett
3

Saya tidak yakin apa yang Anda cari di sini karena akan sulit untuk menggunakan solusi perubahan kata sandi akun lokal yang akan 'entah bagaimana' bekerja untuk akun komputer online dan offline. Prosesnya adalah apakah itu skrip atau GP yang sebenarnya, bagi mereka untuk mendapatkan perubahan kata sandi di 'beberapa titik' ketika sedang online. Jika Anda ingin menggunakan ini sebagai tindakan satu kali pada jangka waktu tertentu, Anda harus melakukan komputer offline secara manual.

Saya yakin Anda mungkin pernah membaca ini, tetapi berikut adalah beberapa solusi yang disarankan dalam pertanyaan sebelumnya terkait dengan Anda: /server/23490/is-there-a-group-policy-that -akan-mendorong-nama-pengguna-baru-dan-kata sandi-untuk-semua-lokal

l0c0b0x
sumber
Satu-satunya jenis skrip yang saya benar-benar menentang adalah skrip yang berisi kata sandi itu sendiri, tidak semua skrip.
Jordan Milne
1
Bagaimana Anda membuat mesin menetapkan kata sandi jika kata sandi tidak ada dalam skrip? Plaintext harus ada di suatu tempat pada suatu waktu. "Passgen", misalnya, hanya menggunakan frasa sandi plaintext dan nama komputer sebagai garam. "Kepercayaan" hanya dipindahkan ke frasa sandi, bukan kata sandi. Anda masih harus memiliki frasa sandi dalam skrip untuk menggunakan alat ini. Anda harus memiliki kepercayaan di suatu tempat. Menurut saya, skrip yang ditandai "Domain Komputer / Baca" dengan izin "Pengguna yang Diotentikasi" dihapus, diizinkan untuk dijalankan di komputer klien, dan kemudian dihapus cukup aman.
Evan Anderson
2

Kami mendorong kata sandi lokal menggunakan script Powershell Set-LocalPassword.ps1 dan mendapatkan daftar server menggunakan Get-OUComputerNames.ps1 .

Cepat, sederhana, dan kata sandi tidak perlu menunggu untuk ditemukan. 

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

Namun solusi ini tidak mencakup kasing saat mesin dimatikan. Meskipun itu akan cukup sederhana untuk membuat daftar mesin un-pingable dan menanganinya nanti.

Nathan Hartley
sumber
1

Kami melakukan ini melalui Kebijakan Grup.

Saya tidak tahu secara spesifik bagaimana GPO dibuat, tetapi ada di bagian: 

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts

Ada pengaturan untuk memungkinkan penonaktifan akun tamu dan penggantian nama akun admin lokal.

EDIT: Saya salah bicara tentang mengubah kata sandi lokal.

Mengubah kata sandi admin lokal sedikit lebih rumit, setidaknya sampai Windows Server 2008. Solusi ini berfungsi pada Server 2003, dan sedikit kludge karena mengirim kata sandi baru dalam teks biasa. Jika itu menyangkut Anda, ada alternatif lain yang mengenkripsi tetapi membutuhkan perangkat lunak tambahan. Kami mengatasi masalah ini dengan membiarkannya dinonaktifkan kecuali kami perlu melakukan perubahan.

1- menulis file batch 1 baris .. dengan perintah "NET USER Administrator% 1" - jika Anda mengganti nama akun, gunakan nama baru.

2 - mengatur file batch untuk dijalankan pada logon menggunakan GPO, di bagian berikut 

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- DALAM entri GPO, tekan tombol untuk menampilkan file, dan salin file batch ke lokasi yang dibuka. Kemudian file batch (termasuk .bat) sebagai nama skrip dan kata sandi baru sebagai parameter.

ilustrasi

tomjedrz
sumber
Saya melihat satu untuk mengganti nama akun admin, tetapi tidak mengubah kata sandi.
Jordan Milne
1
Bersiaplah untuk memukul untuk menyebutkan menggunakan script dengan password plaintext di dalamnya ... tersenyum
Evan Anderson
1
Anda memiliki kompresi yang diaktifkan pada SYSVOL Anda? Eww ...
Evan Anderson
0

Saya akan mengarahkan Anda ke jawaban saya di: Apakah ada kebijakan grup yang akan mendorong nama pengguna dan kata sandi baru ke semua mesin lokal di jaringan?

Anda dapat menggunakan skrip seperti itu dengan izin yang disetel untuk hanya mengizinkan "Komputer Domain" untuk membaca skrip (atau grup yang bahkan lebih ketat, jika Anda mau), dan mengatur grup "pintu jebakan" seperti yang saya jelaskan sehingga Anda bisa tahu kapan semua komputer telah memproses skrip sehingga Anda dapat menghapusnya. Script akan dieksekusi secara lokal pada komputer subjek, tetapi hanya akan dapat diakses oleh konteks keamanan komputer. (Namun, jika pengguna memiliki "Administrator" di mesin mereka, maka ini akan menjadi masalah. Jika mereka memiliki "Administrator", Anda memiliki masalah yang lebih besar daripada kata sandi "Administrator" lokal yang tidak disetel. Agaknya, pengguna telah menyiapkan metode untuk menjamin mereka kemampuan mendapatkan kembali hak "Administrator" setelah Anda mengubah kata sandi Administrator lokal ... Saya akan melakukannya!

Di depan yang sama sekali berbeda, Anda bisa melakukan sesuatu yang gila seperti skrip sisi server yang:

  • Polling grup keamanan AD untuk nama komputer anggota
  • Mencoba untuk PING / "NET USE" / etc setiap komputer dalam daftar untuk menentukan apakah mereka "online"
  • Menjalankan "PSPASSWD" terhadap komputer jarak jauh jika itu menentukan "online"
  • Hapus semua komputer yang berhasil menyelesaikan pengaturan ulang kata sandi dari grup keamanan
  • Tidur sebentar dan ulangi jika grup belum kosong

Itu akan membuat skrip mengeksekusi di server.

Evan Anderson
sumber
0

Saya hanya akan menggunakan file batch sederhana yang mengubah kata sandi dan mengkonversi file itu menjadi exe atau sesuatu menggunakan AutoHotKey atau AutoIT Script. Kemudian konfigurasikan skrip ini untuk dijalankan sebagai skrip startup komputer. Untuk menghentikan orang dari memata-matai saya akan menggunakan trik hanya memberikan "Domain Computers" BACA hak daripada "Pengguna yang Diotentikasi".

KAP
sumber
0

Seperti yang dikatakan Sean Earp, Anda ingin memiliki kata sandi admin lokal yang unik untuk masing-masing, secara berkala diubah.

Cara lain yang saya sukai (setidaknya dalam teori;) adalah dengan menghapus akun administrator lokal sepenuhnya dan mengandalkan akun domain untuk manajemen.

Oskar Duveborn
sumber
Tidak ada fungsi dalam OS untuk menghapus akun Administrator RID 500. Anda dapat melakukannya dengan mucking di SAM tetapi Anda jauh ke wilayah "tidak didukung" pada saat itu. Apa yang terjadi, bagaimanapun, ketika hubungan kepercayaan workstation mesin dihidupkan?
Evan Anderson