Wie halte ich das lokale Administratorkennwort in einer Organisationseinheit konsistent?

8

Wir haben eine Reihe von PCs mit XP SP2 (und einige mit SP1), die bereits in Produktion sind, und wir möchten das Kennwort des lokalen Administrators in der gesamten Organisationseinheit konsistent halten. Die einzige Lösung, die ich mir vorstellen kann, wäre die Verwendung von pspassword zum Ändern aller Kennwörter oder die lokale Ausführung eines Skripts mit dem Kennwort auf den PCs.

Leider funktioniert pspasswd nicht auf Computern, die nicht online sind, und ein lokales Skript mit dem Kennwort wäre unsicher.

Gibt es eine andere praktikable Lösung? Wie kann ich Computer berücksichtigen, die zum Zeitpunkt der Kennwortänderung nicht online sind?

windows active-directory password Jordan Milne
quelle

Antworten:

5

Obwohl es keine Gruppenrichtlinieneinstellung gibt, die dies tun kann, gibt es eine Gruppenrichtlinieneinstellung, die dies ermöglicht. Weitere Informationen finden Sie hier: http://blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

Bearbeiten: Eine weitere Option ist die Verwendung des Passgen-Dienstprogramms, das Steve Riley und Jesper Johannson (beide früher von Microsoft) für ihr Buch "Protect your Windows Network" geschrieben haben. Tatsächlich wird für jeden Computer in der Domäne ein eindeutiges lokales Administratorkennwort festgelegt (was viel sicherer ist ... Wenn Sie alle gleich haben, bedeutet der Kompromiss eines Computers den Kompromiss aller Computer in Ihrer Domäne). Aus der Beschreibung:

In diesem Buch wird empfohlen, dass Sie für jeden lokalen Administrator und jedes Dienstkonto in Ihrem Unternehmen separate Kennwörter verwalten. Dies ist natürlich fast unmöglich zu handhaben, ohne dass etwas für Sie automatisiert wird. Das macht Passgen. Das Tool generiert eindeutige Kennwörter basierend auf bekannten Eingaben (eine von Ihnen definierte Kennung und Passphrase), legt diese Kennwörter remote fest und ermöglicht es Ihnen, sie später abzurufen.

Passgen ist kostenlos und kann hier heruntergeladen werden: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Sean Earp
quelle
Ich habe mir das angesehen und war mir nicht sicher, ob es realisierbar ist, da wir immer noch ein paar Computer haben, die SP1 verwenden, und wir müssten einen domänenweiten Rollout von GPP durchführen, damit es funktioniert.
Jordan Milne
Der MS-Artikel unter blogs.technet.com/b/grouppolicy/archive/2009/04/22/… empfiehlt nicht, GPP für vertrauliche Kennwörter zu verwenden. "Da das Kennwort in SYSVOL gespeichert ist, haben alle authentifizierten Benutzer Lesezugriff darauf. Außerdem kann es vom Client während der Übertragung gelesen werden, wenn der Benutzer über die erforderlichen Berechtigungen verfügt."
bshacklett
3

Ich bin mir nicht sicher, wonach Sie hier suchen, da es schwierig wäre, eine Lösung zur Änderung des Kennworts für ein lokales Konto bereitzustellen, die für Online- und Offline-Computerkonten "irgendwie" funktioniert. Der Prozess wäre, wenn es sich um ein tatsächliches Skript oder einen GP handelt, damit sie die Kennwortänderung "irgendwann" erhalten, wenn sie online sind. Wenn Sie dies als einmalige Aktion in einem bestimmten Zeitraum bereitstellen möchten, müssen Sie die Offline-Computer manuell ausführen.

Ich bin mir sicher, dass Sie dies wahrscheinlich gelesen haben, aber hier sind einige Lösungen, die in einer früheren Frage zu Ihrer vorgeschlagen wurden: /server/23490/is-there-a-group-policy-that -would-Push-einen-neuen-Benutzernamen-und-Passwort-an-alle-lokal

l0c0b0x
quelle
Die einzige Art von Skript, gegen die ich wirklich bin, ist eine, die das Passwort selbst enthält, nicht alle Skripte.
Jordan Milne
1
Wie soll ein Computer ein Kennwort festlegen, wenn das Kennwort nicht im Skript enthalten ist? Der Klartext muss irgendwann irgendwo existieren. "Passgen" verwendet beispielsweise nur eine Klartext-Passphrase und den Computernamen als Salz. Das "Vertrauen" wird nur in die Passphrase und nicht in das Kennwort verschoben. Sie müssten diese Passphrase immer noch in einem Skript haben, um das Tool verwenden zu können. Man muss irgendwo Vertrauen haben. Meiner Meinung nach ist ein Skript mit der Bezeichnung "Domänencomputer / Lesen" mit der Berechtigung "Authentifizierte Benutzer" entfernt, auf Clientcomputern ausgeführt und dann gelöscht, ziemlich sicher.
Evan Anderson
2

Wir senden lokale Passwörter mit dem Powershell-Skript Set-LocalPassword.ps1 heraus und rufen die Liste der Server mit Get-OUComputerNames.ps1 ab .

Schnell, einfach und das Passwort muss nicht warten, bis es gefunden wird. 

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

Diese Lösung deckt jedoch nicht den Fall ab, wenn eine Maschine ausgeschaltet ist. Es wäre jedoch einfach genug, eine Liste nicht pingbarer Maschinen zu erstellen und sie später zu bearbeiten.

Nathan Hartley
quelle
1

Wir tun dies durch Gruppenrichtlinien.

Ich weiß nicht genau, wie das Gruppenrichtlinienobjekt erstellt wird, aber es befindet sich im Abschnitt: 

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts

Es gibt Einstellungen, mit denen Sie das Gastkonto deaktivieren und das lokale Administratorkonto umbenennen können.

EDIT: Ich habe falsch über das Ändern des lokalen Passworts gesprochen.

Das Ändern des lokalen Administratorkennworts ist zumindest bis Windows Server 2008 etwas komplizierter. Diese Lösung funktioniert unter Server 2003 und ist etwas umständlich, da das neue Kennwort im Klartext gesendet wird. Wenn Sie dies betrifft, gibt es andere Alternativen, die verschlüsseln, jedoch zusätzliche Software benötigen. Wir beheben das Problem, indem wir es deaktivieren, es sei denn, wir müssen eine Änderung vornehmen.

1- Schreiben Sie eine 1-zeilige Batchdatei .. mit dem Befehl "NET USER Administrator% 1" - wenn Sie das Konto umbenennen, verwenden Sie den neuen Namen.

2- Stellen Sie die Batchdatei im folgenden Abschnitt so ein, dass sie bei der Anmeldung mit dem Gruppenrichtlinienobjekt ausgeführt wird 

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- Drücken Sie im GPO-Eintrag die Taste, um die Dateien anzuzeigen, und kopieren Sie die Batchdatei an den geöffneten Speicherort. Dann die Batch-Datei (inkl. Bat) als Skriptname und das neue Passwort als Parameter.

Illustration

Tomjedrz
quelle
Ich sehe eine zum Umbenennen des Administratorkontos, aber nicht zum Ändern des Passworts.
Jordan Milne
1
Bereiten Sie sich darauf vor, mit einem Skript mit einem Klartext-Passwort erwähnt zu werden ... smile
Evan Anderson
1
Sie haben die Komprimierung auf Ihrem SYSVOL aktiviert? Eww ...
Evan Anderson
0

Ich werde Sie auf meine Antwort verweisen unter: Gibt es eine Gruppenrichtlinie, die einen neuen Benutzernamen und ein neues Kennwort an alle lokalen Computer in einem Netzwerk weiterleitet?

Sie können ein solches Skript mit festgelegten Berechtigungen bereitstellen, damit nur "Domänencomputer" das Skript lesen können (oder eine noch restriktivere Gruppe, wenn Sie möchten), und eine "Falltür" -Gruppe einrichten, wie ich sie beschreibe, damit Sie wissen, wann alle Die Computer haben das Skript so verarbeitet, dass Sie es löschen können. Das Skript würde lokal auf den betreffenden Computern ausgeführt, wäre jedoch nur für den Sicherheitskontext des Computers zugänglich. (Wenn die Benutzer jedoch "Administrator" auf ihren Computern haben, ist dies ein Problem. Wenn sie jedoch "Administrator" haben, haben Sie größere Probleme als nicht festgelegte lokale "Administrator" -Kennwörter. Vermutlich haben die Benutzer bereits Setup-Methoden um ihnen die Möglichkeit zu garantieren, "Administrator" -Rechte wiederzugewinnen, nachdem Sie das lokale Administratorkennwort geändert haben ... würde ich!

Auf einer ganz anderen Seite könnten Sie etwas Verrücktes tun, wie ein serverseitiges Skript, das:

  • Fragt eine AD-Sicherheitsgruppe nach Mitgliedscomputernamen ab
  • Versuche, jeden Computer in der Liste mit PING / "NET USE" / etc zu versehen, um festzustellen, ob er "online" ist.
  • Führt ein "PSPASSWD" für den Remotecomputer aus, wenn festgestellt wird, dass es "online" ist.
  • Entfernen Sie alle Computer, die das Zurücksetzen des Kennworts erfolgreich abgeschlossen haben, aus der Sicherheitsgruppe
  • Schlafen Sie eine Weile und wiederholen Sie den Vorgang, wenn die Gruppe noch nicht leer ist

Dadurch würde das Skript weiterhin auf einem Server ausgeführt.

Evan Anderson
quelle
0

Ich würde einfach eine einfache Batchdatei verwenden, um das Passwort zu ändern und diese Datei mit AutoHotKey oder AutoIT Script in exe oder etwas anderes zu konvertieren. Konfigurieren Sie dieses Skript dann so, dass es als Computer-Startskript ausgeführt wird. Um Leute vom Spionieren abzuhalten, würde ich den Trick anwenden, nur "Domänencomputern" READ-Rechte anstelle von "Authentifizierten Benutzern" zu erteilen.

KAPes
quelle
0

Wie Sean Earp sagte, möchten Sie für jedes ein eindeutiges lokales Administratorkennwort haben, das regelmäßig geändert wird.

Eine andere Möglichkeit, die ich (zumindest theoretisch;) bevorzuge, besteht darin, die lokalen Administratorkonten einfach vollständig zu löschen und sich bei der Verwaltung auf Domänenkonten zu verlassen.

Oskar Duveborn
quelle
Das Betriebssystem verfügt über keine Funktion zum Löschen des RID 500-Administratorkontos. Sie können dies tun, indem Sie im SAM herumspielen, aber zu diesem Zeitpunkt befinden Sie sich weit im "nicht unterstützten" Gebiet. Was passiert überhaupt, wenn die Vertrauensstellung der Workstation auf dem Computer unterbrochen wird?
Evan Anderson