XP SP2を実行しているPC(およびSP1を実行しているカップル)の数は既に実稼働環境にあり、ローカル管理者のパスワードをOU全体で一貫して維持することを目指しています。私が考えられる唯一の解決策は、pspasswordを使用してすべてのパスワードを変更するか、パスワードを含むスクリプトをPCでローカルに実行することです。
残念ながら、pspasswdはオンラインでないコンピューターでは機能せず、パスワードを含むローカルスクリプトは安全ではありません。
他に実行可能な解決策はありますか?パスワードの変更時にオンラインになっていないコンピューターをどのように説明できますか?
回答:
これを行うことができるグループポリシー設定はありませんが、これを行うことができるグループポリシー設定があります。詳細はこちら:http : //blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx
編集:もう1つのオプションは、Steve RileyとJesper Johannson(どちらも以前はMicrosoftでした)が "Protect your Windows Network"のために書いたPassgenユーティリティを使用することです。実際には、ドメイン内の各コンピューターに一意のローカル管理者パスワードを設定します(これははるかに安全です...それらがすべて同じ場合、1台のコンピューターの侵害はドメイン内のすべてのコンピューターの侵害を意味します)。説明から:
この本では、企業内のすべてのローカル管理者とサービスアカウントで個別のパスワードを維持することをお勧めします。もちろん、これを自動化するものがなければ、管理することはほとんど不可能です。それがPassgenが行うことです。このツールは、既知の入力(定義した識別子とパスフレーズ)に基づいて一意のパスワードを生成し、それらのパスワードをリモートで設定して、後で取得できるようにします。
Passgenは無料で、あなたはここでそれを得ることができます。http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx
オンラインアカウントとオフラインコンピューターのアカウントで「何らかの形で」機能するローカルアカウントのパスワード変更ソリューションを展開するのは難しいため、ここで何を探しているのかわかりません。プロセスは、それが実際のスクリプトまたはGPである場合、オンラインの「ある時点」でパスワードの変更を取得するためのものです。これを特定の時間枠の1回限りのアクションとして展開する場合は、オフラインコンピューターを手動で実行する必要があります。
あなたはおそらくこれを読んだと思いますが、これはあなたに関連した以前の質問で提案されたいくつかの解決策です:https : //serverfault.com/questions/23490/is-there-a-group-policy-that -would-push-a-new-user-name-and-password-to-all-local
PowershellスクリプトSet-LocalPassword.ps1を使用してローカルパスワードをプッシュし、Get-OUComputerNames.ps1を使用してサーバーのリストを取得します。
素早く簡単で、パスワードが見つかるのを待つ必要はありません。
Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"
ただし、このソリューションは、マシンがオフになっている場合のケースをカバーしていません。pingできないマシンのリストを作成して後で処理するのは簡単です。
グループポリシーを通じてこれを行います。
GPOの作成方法の詳細はわかりませんが、次のセクションにあります。
Computer Configuration
/ Windows Settings
/ Security Settings
/ Local Policies/Security Options
/ Accounts
ゲストアカウントの無効化とローカル管理者アカウントの名前変更を許可する設定があります。
編集:ローカルパスワードの変更について誤解しました。
ローカル管理者パスワードの変更は、少なくともWindows Server 2008までは少し複雑です。このソリューションはServer 2003で機能し、新しいパスワードをプレーンテキストで送信するので少し手間がかかります。それが気になる場合は、暗号化するが他のソフトウェアが必要な他の方法があります。変更を加える必要がない限り、問題を無効にしておくことで問題を解決しています。
1-コマンド "NET USER Administrator%1"を使用して、1行のバッチファイルを作成します-アカウントの名前を変更する場合は、新しい名前を使用してください。
2-次のセクションで、GPOを使用してログオン時に実行するバッチファイルを設定します。
Computer Configuration
/ Windows Settings
/ Scripts
/ Startup
3- GPOエントリで、ボタンを押してファイルを表示し、開いた場所にバッチファイルをコピーします。次に、バッチファイル(.batを含む)をスクリプト名として、新しいパスワードをパラメーターとして使用します。
私の回答を紹介します。ネットワーク上のすべてのローカルマシンに新しいユーザー名とパスワードをプッシュするグループポリシーはありますか?
このようなスクリプトを、 "ドメインコンピュータ"がスクリプト(または必要に応じてさらに制限されたグループ)を読み取ることのみを許可するように設定して、 "トラップドア"グループをセットアップして、すべてのことを知ることができるようにすることができます。コンピュータがスクリプトを処理したため、スクリプトを削除できます。スクリプトは対象のコンピューター上でローカルに実行されますが、コンピューターのセキュリティコンテキストにのみアクセスできます。(ただし、ユーザーが自分のマシンに「管理者」を持っている場合、これは問題になります。「管理者」を持っている場合は、ローカルの「管理者」パスワードの設定を解除するよりも大きな問題があります。おそらく、ユーザーはすでにセットアップ方法を持っていますローカルの管理者パスワードを変更した後、「管理者」権限を取り戻すことができることを保証するには...
まったく別の面では、次のようなサーバー側スクリプトのような奇妙なことができます。
これにより、スクリプトはサーバーで実行され続けます。
Sean Earpが言ったように、それぞれに固有のローカル管理者パスワードを定期的に変更する必要があります。
私が好むもう1つの方法(少なくとも理論的には;)は、ローカル管理者アカウントを完全に削除し、ドメインアカウントに依存して管理することです。