Bien qu'il semble y avoir trois options disponibles, dont l'une est réellement sécurisée, il ne semble y avoir que deux choix disponibles qui pourront avoir un impact sur les machines qui ne sont pas sous tension au moment du changement ou qui sont mobiles et n'étaient pas sur le réseau au moment du changement. Aucun des deux ne semble être une option sûre. Les trois options que je connais sont:
- Scripts de démarrage avec .vbs
- GPO utilisant les préférences de stratégie de groupe
- Script Powershell en tant que tâche planifiée.
Je rejette l'option Powershell parce que je ne sais pas comment cibler / itérer efficacement et rejeter les machines déjà modifiées, toutes les machines sur le réseau et quel impact cela aurait sur la surcharge réseau inutile, même si c'est probablement la meilleure solution disponible car le mot de passe lui-même peut être stocké dans un conteneur CipherSafe.NET (solution tierce) et le mot de passe transmis au script sur la machine cible. Je n'ai pas vérifié si Powershell peut obtenir un mot de passe du gestionnaire d'informations d'identification d'une machine Windows locale à utiliser dans le script ou s'il est possible d'y stocker un mot de passe à utiliser avec le script.
L'option de script .vbs n'est pas sécurisée car le mot de passe est stocké en texte clair dans le partage SYSVOL qui est disponible pour n'importe quelle machine de domaine sur le réseau. Quiconque cherche à trouver une porte dérobée et avec un peu de Google trouvera cette porte si elle est suffisamment persistante.
L'option GPO est également non sécurisée, comme indiqué par cette note MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789
Je recherche une solution non tierce qui, je pense, devrait être disponible ou capable d'être développée en interne avec les bonnes connaissances ou les bons conseils.
Réponses:
Je vais aller de l'avant et apporter mon commentaire à la réponse.
Il faudra que ce soit un tiers. Comme vous l'avez déjà souligné, aucune des trois options que vous mentionnez n'est optimale. Microsoft ne fournit pas un moyen parfait de procéder. Il n'y en a tout simplement pas. Ce sera un tiers, et cela impliquera presque sûrement l'installation d'un agent logiciel sur tous vos clients.
J'ai développé une solution pour ce problème exact (sauf qu'il fonctionnait sur de nombreuses forêts et domaines simultanément) et qu'il impliquait VBscript pour une compatibilité maximale avec autant de versions différentes de Windows que possible, ainsi que certains bits C #, ainsi qu'une troisième agent logiciel de fête que la société utilisait déjà à des fins de surveillance et était donc déjà installé sur chaque machine, que j'ai pu exploiter.
Alternativement, vous pouvez simplement désactiver tous les comptes d'administrateur locaux via GPO, ce qui est assez courant. Mais si quelque chose ne va pas avec la synchronisation de domaine sur ce membre de domaine, la récupération sera plus un PITA que si vous aviez un compte "administrateur local" de récupération.
Edit: Juste pour clarifier: je suis confus lorsque vous dites que vous "recherchez une solution non tierce qui ... devrait pouvoir être développée en interne ..." Je considérerais tout ce qui n'est pas écrit par Microsoft en tant que composant intégré de Windows dans ce contexte "tiers". Pouvez-vous le faire avec un code intelligent qui utilise les communications réseau TLS et stocke les secrets dans une base de données SQL Server avec un cryptage de données transparent avec une fonction de hachage complexe qui génère un mot de passe unique pour chaque machine? OUI. Est-il intégré à Windows sans aucun effort de votre part? NON. :)
la source
Eh bien pour l'option GPO, l'article Microsoft que vous avez souligné ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) spécifie dans sa documentation (téléchargez le fichier Documentation.zip) ceci:
Spécifications techniques détaillées - Gestion du mot de passe du compte administrateur local - page 5
Peut-être que la définition de l'article n'est pas mise à jour, donc je dis que vous jetez un œil à la documentation et peut-être faites des tests tout en reniflant le trafic, de cette façon vous pouvez en être sûr.
la source