ドメイン上のすべてのマシンのローカル管理者パスワードの変更を管理するための業界標準の方法は何ですか？

3つの使用可能なオプションがあるように見えますが、そのうちの1つは実際には安全ですが、変更時に電源が入っていないマシンまたはネットワーク上にないモバイルに影響を与える可能性があるのは、2つの使用可能な選択肢があるようです変更時。どちらも安全なオプションではないようです。私が知っている3つのオプションは次のとおりです。

1. .vbsを使用した起動スクリプト
2. グループポリシー設定を使用したGPO
3. スケジュールされたタスクとしてのPowerShellスクリプト。

Powershellオプションを無効にします。これは、おそらく最良のソリューションであるにもかかわらず、ネットワーク上のすべてのマシン、および不要なネットワークオーバーヘッドに与える影響を既に変更したマシンを効果的にターゲット/反復する方法がわからないためですパスワード自体はCipherSafe.NET（サードパーティソリューション）コンテナに保存でき、パスワードはターゲットマシンのスクリプトに渡されるためです。Powershellがスクリプトで使用するローカルWindowsマシンの資格情報マネージャーからパスワードを取得できるかどうか、またはスクリプトで使用するためにパスワードをそこに保存できるかどうかを確認していません。

パスワードはネットワーク上の任意のドメインマシンで使用可能なSYSVOL共有にクリアテキストで保存されるため、.vbsスクリプトオプションは安全ではありません。バックドアを見つけようとしていて、少しのグーグルを持っている人なら誰でも、そのドアが十分に持続すれば見つけるでしょう。

GPOオプションも、このMSDNノートで説明されているように安全ではありません：http : //code.msdn.microsoft.com/Solution-for-management-of-ae44e789

私は、適切な知識やガイダンスがあれば社内で開発できる、または開発できるはずのサードパーティ以外のソリューションを探しています。

先に進み、アンサータウンにコメントしていきます。

サードパーティでなければなりません。既に指摘したように、言及した3つのオプションはどれも最適ではありません。Microsoftはこれを行うための完璧な方法を提供していません。ただ一つではありません。これはサードパーティであり、ほぼ確実にすべてのクライアントにソフトウェアエージェントをインストールする必要があります。

私はこの正確な問題の解決策を開発しました（多くのフォレストとドメインで同時に機能することを除く）。また、VBscriptを使用して、できるだけ多くの異なるバージョンのWindows、およびいくつかのC＃ビット、3番目の幸いなことに、会社が既に監視目的で使用していたため、すべてのマシンに既にインストールされていた、私が活用できるパーティソフトウェアエージェント。

または、GPO経由ですべてのローカル管理者アカウントを無効にすることもできますが、これは非常に一般的です。ただし、そのドメインメンバーでドメインの同期に問題が発生した場合、回復は「ローカル管理者」の回復アカウントを持っていた場合よりもPITAになります。

編集：明確にするために：「社内で開発できるはずの...サードパーティ以外のソリューションを探しています...」と言うとき、私は混乱しますこのコンテキスト「サードパーティ」のWindowsの組み込みコンポーネントとして。TLSネットワーク通信を使用し、各マシンに固有のパスワードを生成する複雑なハッシュ関数を使用した透過的なデータ暗号化により、秘密をSQL Serverデータベースに保存する巧妙なコードでそれを実行できますか？はい。あなたの側で労力を必要とせずにWindowsに組み込まれていますか？番号。:)

GPOオプションについては、あなたが指摘したMicrosoft Article（http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789）がそのドキュメント（Documentation.zipファイルをダウンロード）でこれを指定しています：

管理対象コンピューターからActive Directoryへのパスワードの転送はKerberos暗号化によって保護されているため、ネットワークトラフィックを盗聴してパスワードを知ることはできません。

詳細な技術仕様-ローカル管理者アカウントのパスワード管理-ページ5

記事の定義が更新されていない可能性があるため、ドキュメントを確認し、トラフィックをスニッフィングしながらテストを行うことをお勧めします。