Como mantenho a senha de administrador local consistente em uma UO?

Já temos vários PCs com XP SP2 (e alguns com SP1) em produção e procuramos manter a senha do administrador local consistente em toda a OU. As únicas soluções em que posso pensar seria usar o pspassword para alterar todas as suas senhas ou ter um script contendo a senha executada localmente nos PCs.

Infelizmente, o pspasswd não funciona em computadores que não estão online e um script local contendo a senha seria inseguro.

Existe alguma outra solução viável? Como posso contabilizar computadores que não estão online no momento da alteração da senha?

Embora não exista uma configuração de Diretiva de Grupo que possa fazer isso, há uma configuração de Preferências de Diretiva de Grupo que o fará. Mais informações aqui: http://blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

Edit: Uma outra opção é usar o utilitário Passgen que Steve Riley e Jesper Johannson (ambos anteriormente da Microsoft) escreveram para o livro "Protect your Windows Network". Na verdade, ele define uma senha de administrador local exclusiva para cada computador no domínio (que é muito mais seguro ... se você as tiver da mesma forma, o comprometimento de um computador significa o comprometimento de todos os computadores do seu domínio). A partir da descrição:

No livro, recomendamos que você mantenha senhas separadas em cada administrador local e conta de serviço em sua empresa. Obviamente, isso é quase impossível de gerenciar sem algo para automatizá-lo para você. É isso que Passgen faz. A ferramenta gera senhas exclusivas com base na entrada conhecida (um identificador e frase secreta que você define), define essas senhas remotamente e permite recuperá-las mais tarde.

O Passgen é gratuito e você pode obtê-lo aqui: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Não tenho certeza do que você está procurando aqui, pois seria difícil implantar uma solução de alteração de senha da conta local que funcione de alguma forma para contas de computador online e offline. O processo seria, se for um script ou GP real, para que eles obtenham a alteração da senha em 'algum momento' quando estiverem online. Se você deseja implantar isso como uma ação única em um determinado período de tempo, precisará executar os computadores offline manualmente.

Tenho certeza que você provavelmente leu isso, mas aqui estão algumas soluções sugeridas em uma pergunta anterior relacionada à sua: /server/23490/is-there-a-group-policy-that -daria-empurrar-um-novo-nome-de-usuário-e-senha-para-todo-local

Empurramos as senhas locais para fora usando o script Powershell Set-LocalPassword.ps1 e obtemos a lista de servidores usando Get-OUComputerNames.ps1 .

Rápido, simples e a senha não precisa ficar esperando para ser encontrada.

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

No entanto, esta solução não cobre o caso quando uma máquina é desligada. Embora fosse simples o suficiente fazer uma lista de máquinas não pingáveis ​​e lidar com elas mais tarde.

Fazemos isso por meio da Diretiva de Grupo.

Não sei as especificidades de como o GPO é criado, mas está na seção:

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts 

Existem configurações que permitem desativar a conta de convidado e renomear a conta de administrador local.

EDIT: Eu falei errado sobre como alterar a senha local.

Alterar a senha do administrador local é um pouco mais complicado, pelo menos até o Windows Server 2008. Esta solução funciona no Server 2003 e é um pouco complicada, pois envia a nova senha em texto sem formatação. Se isso lhe interessa, existem outras alternativas que criptografam, mas precisam de software adicional. Resolvemos o problema, deixando-o desativado, a menos que seja necessário fazer uma alteração.

1- escreva um arquivo em lotes de 1 linha .. com o comando "NET USER Administrator% 1" - se você renomear a conta, use o novo nome.

2- defina o arquivo em lotes para execução no logon usando o GPO, na seção a seguir

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- Na entrada GPO, pressione o botão para mostrar os arquivos e copie o arquivo em lotes no local aberto. Em seguida, o arquivo em lotes (incl. Bat) como o nome do script e a nova senha como o parâmetro.

Vou apontar a minha resposta em: Existe uma política de grupo que envie um novo nome de usuário e senha para todas as máquinas locais em uma rede?

Você pode implantar esse script com permissões definidas para permitir apenas que "computadores de domínio" leiam o script (ou um grupo ainda mais restritivo, se você desejar) e configure um grupo de "alçapão", conforme descrevo, para que você possa saber quando todos os computadores processaram o script para que você possa excluí-lo. O script seria executado localmente nos computadores em questão, mas só seria acessível ao contexto de segurança do computador. (Se os usuários tiverem "Administrador" em suas máquinas, isso será um problema. Se eles tiverem "Administrador", você terá problemas maiores do que as senhas locais "Administrador" não definidas. Presumivelmente, os usuários já configuraram métodos para garantir a eles a capacidade de recuperar os direitos de "Administrador" depois de alterar a senha do administrador local ... Eu faria!

Em uma frente completamente diferente, você pode fazer algo louco como um script do lado do servidor que:

• Pesquisa um grupo de segurança do AD por nomes de computadores membros
• Tentativas de PING / "NET USE" / etc em cada computador da lista para determinar se estão "online"
• Executa um "PSPASSWD" no computador remoto, se determinar que está "online"
• Remova todos os computadores que concluíram com êxito a redefinição de senha do grupo de segurança
• Durma por um período e repita se o grupo ainda não estiver vazio

Isso manteria o script em execução em um servidor.

Gostaria apenas de usar a senha de alteração de arquivo em lote simples e converter esse arquivo em exe ou algo usando o AutoHotKey ou o AutoIT Script. Em seguida, configure esse script para executar como script de inicialização do computador. Para impedir que as pessoas espionem, eu usaria o truque de conceder apenas direitos de leitura a "computadores de domínio" em vez de "usuários autenticados".

Como Sean Earp disse, você deseja ter uma senha de administrador local exclusiva para cada uma, alterada regularmente.

Outra maneira que eu prefiro (pelo menos em teoria;) é simplesmente excluir completamente as contas de administrador local e confiar nas contas de domínio para gerenciamento.