วิธีมาตรฐานอุตสาหกรรมสำหรับการจัดการการเปลี่ยนรหัสผ่านผู้ดูแลท้องถิ่นสำหรับเครื่องทั้งหมดในโดเมนคืออะไร?

แม้ว่าจะมีสามตัวเลือกให้เลือก แต่หนึ่งในนั้นมีความปลอดภัยจริง ๆ ดูเหมือนว่าจะมีเพียงสองตัวเลือกที่พร้อมใช้งานซึ่งจะสามารถส่งผลกระทบต่อเครื่องที่ไม่ได้เปิดอยู่ในขณะที่มีการเปลี่ยนแปลงหรือเป็นมือถือและไม่ได้อยู่ในเครือข่าย ในช่วงเวลาของการเปลี่ยนแปลง ทั้งสองอย่างนั้นดูเหมือนจะเป็นตัวเลือกที่ปลอดภัย สามตัวเลือกที่ฉันรู้คือ:

1. สคริปต์เริ่มต้นด้วย. vbs
2. วัตถุนโยบายกลุ่มโดยใช้การตั้งค่านโยบายกลุ่ม
3. สคริปต์ PowerShell เป็นงานที่กำหนดเวลาไว้

ฉันยกเลิกตัวเลือก Powershell เพราะฉันไม่รู้วิธีกำหนดเป้าหมาย / ทำซ้ำอย่างมีประสิทธิภาพและยกเลิกเครื่องที่เปลี่ยนไปแล้วทุกเครื่องในเครือข่ายและผลกระทบใดที่จะมีต่อค่าใช้จ่ายเครือข่ายที่ไม่จำเป็นแม้ว่ามันอาจเป็นทางออกที่ดีที่สุด เนื่องจากรหัสผ่านสามารถจัดเก็บในคอนเทนเนอร์ CipherSafe.NET (โซลูชันของ บริษัท อื่น) และรหัสผ่านที่ส่งไปยังสคริปต์ไปยังเครื่องเป้าหมาย ฉันไม่ได้ตรวจสอบเพื่อดูว่า Powershell สามารถรับรหัสผ่านจากตัวจัดการข้อมูลประจำตัวของเครื่อง Windows ในพื้นที่ที่จะใช้ในสคริปต์หรือถ้าเป็นไปได้ในการจัดเก็บรหัสผ่านที่นั่นเพื่อใช้กับสคริปต์ด้วย

ตัวเลือกสคริปต์. vbs ไม่ปลอดภัยเนื่องจากรหัสผ่านจะถูกเก็บไว้ในข้อความที่ชัดเจนในการแชร์ SYSVOL ซึ่งสามารถใช้ได้กับเครื่องโดเมนใด ๆ ในเครือข่าย ทุกคนที่กำลังมองหาประตูหลังบ้านและด้วย Google สักเล็กน้อยจะพบประตูนั้นถ้าถาวรมากพอ

ตัวเลือก GPO ยังไม่ปลอดภัยตามที่ระบุไว้โดยหมายเหตุ MSDN นี้: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

ฉันกำลังค้นหาโซลูชันของบุคคลที่ไม่ใช่ซึ่งฉันคิดว่าควรจะมีให้หรือสามารถพัฒนาในบ้านโดยใช้ความรู้หรือคำแนะนำที่ถูกต้อง

ฉันจะไปข้างหน้าและแสดงความคิดเห็นเพื่อตอบรับ

มันจะต้องเป็นบุคคลที่สาม ดังที่คุณได้ชี้ให้เห็นแล้วว่าไม่มีตัวเลือกใดในสามตัวเลือกที่เหมาะสม Microsoft ไม่ได้ให้วิธีที่สมบูรณ์แบบในการทำเช่นนี้ มีเพียงไม่หนึ่ง จะเป็นบุคคลที่สามและเกือบจะเกี่ยวข้องกับคุณในการติดตั้งตัวแทนซอฟต์แวร์ในลูกค้าของคุณ

ฉันได้พัฒนาวิธีแก้ปัญหาที่แน่นอนนี้ (ยกเว้นทำงานได้ในป่าและโดเมนจำนวนมากพร้อมกัน) และมันเกี่ยวข้องกับ VBscript สำหรับความเข้ากันได้สูงสุดกับ Windows รุ่นต่าง ๆ ให้มากที่สุดเท่าที่จะเป็นไปได้รวมถึง C # บิต เอเจนต์ซอฟต์แวร์ของ บริษัท ที่โชคดีที่ บริษัท ใช้เพื่อการตรวจสอบและติดตั้งแล้วในทุกเครื่องซึ่งฉันสามารถใช้ประโยชน์ได้

หรือคุณสามารถปิดการใช้งานบัญชีผู้ดูแลระบบภายในทั้งหมดผ่าน GPO ซึ่งเป็นเรื่องปกติ แต่ถ้ามีบางอย่างผิดปกติกับการซิงค์โดเมนกับสมาชิกโดเมนนั้นการกู้คืนจะเป็น PITA มากกว่าถ้าคุณมีบัญชี "ผู้ดูแลระบบท้องถิ่น" การกู้คืน

แก้ไข: เพื่อชี้แจง: ฉันสับสนเมื่อคุณบอกว่าคุณกำลัง "ค้นหาโซลูชันของบุคคลที่สามซึ่ง ... ควรจะสามารถพัฒนาได้เอง ... " ฉันจะพิจารณาสิ่งที่ไม่ได้เขียนโดย Microsoft ในฐานะที่เป็นส่วนประกอบของ Windows ในบริบทนี้ "บุคคลที่สาม" คุณสามารถใช้รหัสฉลาด ๆ ที่ใช้การสื่อสารเครือข่าย TLS และเก็บความลับในฐานข้อมูล SQL Server ด้วยการเข้ารหัสข้อมูลแบบโปร่งใสด้วยฟังก์ชันแฮชที่ซับซ้อนที่สร้างรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละเครื่องได้หรือไม่? ใช่. มันสร้างขึ้นใน Windows โดยไม่ต้องใช้ความพยายามในส่วนของคุณหรือไม่? NO :)

สำหรับตัวเลือก GPO บทความ Microsoft คุณชี้ให้เห็น ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) ระบุไว้ในเอกสารประกอบ (ดาวน์โหลดไฟล์ Documentation.zip) สิ่งนี้:

การถ่ายโอนรหัสผ่านจากคอมพิวเตอร์ที่ได้รับการจัดการไปยัง Active Directory ได้รับการคุ้มครองโดย Kerberos Encryption ดังนั้นจึงไม่สามารถทราบรหัสผ่านได้โดยการดมกลิ่นการรับส่งข้อมูลเครือข่าย

ข้อมูลทางเทคนิคโดยละเอียด - การจัดการรหัสผ่านของบัญชีผู้ดูแลระบบภายใน - หน้า 5

บางทีคำจำกัดความของบทความอาจไม่ได้รับการปรับปรุงดังนั้นฉันว่าคุณจะดูเอกสารประกอบและอาจทำการทดสอบบางอย่างในขณะที่สูดดมการจราจรในแบบที่คุณมั่นใจได้