Meskipun tampaknya ada tiga opsi yang tersedia, salah satunya sebenarnya aman, tampaknya hanya ada dua pilihan yang tersedia yang akan dapat berdampak pada mesin yang tidak dinyalakan pada saat perubahan atau mobile dan tidak pada jaringan pada saat perubahan. Tak satu pun dari keduanya tampaknya menjadi opsi yang aman. Tiga opsi yang saya ketahui adalah:
- Skrip startup dengan .vbs
- GPO menggunakan Preferensi Kebijakan Grup
- Script Powershell sebagai tugas yang dijadwalkan.
Saya mengabaikan opsi Powershell karena saya tidak tahu cara menargetkan / beralih secara efektif, dan memberhentikan mesin yang sudah berubah, semua mesin di jaringan dan dampak apa yang akan terjadi pada overhead jaringan yang tidak perlu, meskipun itu mungkin solusi terbaik yang tersedia karena kata sandi itu sendiri dapat disimpan dalam wadah CipherSafe.NET (solusi pihak ketiga) dan kata sandi diteruskan ke skrip ke mesin yang ditargetkan. Saya belum memeriksa untuk melihat apakah Powershell bisa mendapatkan kata sandi dari Manajer Kredensial mesin Windows lokal untuk digunakan dalam skrip atau apakah mungkin untuk menyimpan kata sandi di sana untuk digunakan dengan skrip juga.
Opsi skrip .vbs tidak aman karena kata sandi disimpan dalam teks yang jelas di bagian SYSVOL yang tersedia untuk mesin domain apa pun di jaringan. Siapa pun yang mencari untuk menemukan pintu belakang dan dengan sedikit Google akan menemukan pintu itu jika cukup gigih.
Opsi GPO juga tidak aman seperti yang dicatat oleh catatan MSDN ini: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789
Saya mencari solusi pihak ketiga yang menurut saya harus tersedia atau dapat dikembangkan sendiri dengan pengetahuan atau panduan yang tepat.
Jawaban:
Saya akan pergi ke depan dan membawa komentar saya ke answerertown.
Itu harus menjadi pihak ke-3. Seperti yang sudah Anda tunjukkan, tidak satu pun dari tiga opsi yang Anda sebutkan yang optimal. Microsoft tidak menyediakan cara sempurna untuk melakukan ini. Tidak ada satu pun. Ini akan menjadi pihak ketiga, dan hampir pasti melibatkan Anda menginstal agen perangkat lunak pada semua klien Anda.
Saya mengembangkan solusi untuk masalah yang tepat ini (kecuali itu bekerja di banyak hutan dan domain secara bersamaan,) dan itu memang melibatkan VBscript untuk kompatibilitas maksimum dengan sebanyak mungkin versi Windows yang berbeda, serta beberapa bit C #, serta ke-3 agen perangkat lunak pihak yang untungnya perusahaan sudah menggunakan untuk tujuan pemantauan dan karena itu sudah diinstal pada setiap mesin, yang saya dapat memanfaatkan.
Atau, Anda bisa menonaktifkan semua akun Admin lokal melalui GPO, yang sangat umum. Tetapi jika ada yang salah dengan sinkronisasi domain pada anggota domain itu, pemulihan akan lebih menjadi PITA daripada jika Anda memiliki akun "admin lokal" pemulihan.
Sunting: Hanya untuk memperjelas: Saya bingung ketika Anda mengatakan bahwa Anda "mencari solusi pihak ketiga yang ... harus dapat dikembangkan di rumah ..." Saya akan mempertimbangkan apa pun yang tidak ditulis oleh Microsoft sebagai komponen bawaan Windows dalam konteks ini "pihak ketiga." Bisakah Anda melakukannya dengan beberapa kode pintar yang menggunakan komunikasi jaringan TLS dan menyimpan rahasia dalam database SQL Server dengan enkripsi data transparan dengan beberapa fungsi hash kompleks yang menghasilkan kata sandi unik untuk setiap mesin? IYA. Apakah sudah terpasang pada Windows tanpa upaya yang diperlukan dari pihak Anda? TIDAK. :)
sumber
Nah untuk opsi GPO, Artikel Microsoft yang Anda tunjukkan ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) menetapkan dalam dokumentasinya (unduh file Documentation.zip) ini:
Spesifikasi Teknis Terperinci - Manajemen kata sandi akun Administrator lokal - halaman 5
Mungkin definisi artikel tidak diperbarui, jadi saya katakan Anda melihat ke dokumentasi dan mungkin melakukan beberapa pengujian sambil mengendus lalu lintas, dengan cara itu Anda bisa yakin.
sumber