Como mantenho a senha de administrador local consistente em uma UO?

8

Já temos vários PCs com XP SP2 (e alguns com SP1) em produção e procuramos manter a senha do administrador local consistente em toda a OU. As únicas soluções em que posso pensar seria usar o pspassword para alterar todas as suas senhas ou ter um script contendo a senha executada localmente nos PCs.

Infelizmente, o pspasswd não funciona em computadores que não estão online e um script local contendo a senha seria inseguro.

Existe alguma outra solução viável? Como posso contabilizar computadores que não estão online no momento da alteração da senha?

windows active-directory password Jordan Milne
fonte

Respostas:

5

Embora não exista uma configuração de Diretiva de Grupo que possa fazer isso, há uma configuração de Preferências de Diretiva de Grupo que o fará. Mais informações aqui: http://blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

Edit: Uma outra opção é usar o utilitário Passgen que Steve Riley e Jesper Johannson (ambos anteriormente da Microsoft) escreveram para o livro "Protect your Windows Network". Na verdade, ele define uma senha de administrador local exclusiva para cada computador no domínio (que é muito mais seguro ... se você as tiver da mesma forma, o comprometimento de um computador significa o comprometimento de todos os computadores do seu domínio). A partir da descrição:

No livro, recomendamos que você mantenha senhas separadas em cada administrador local e conta de serviço em sua empresa. Obviamente, isso é quase impossível de gerenciar sem algo para automatizá-lo para você. É isso que Passgen faz. A ferramenta gera senhas exclusivas com base na entrada conhecida (um identificador e frase secreta que você define), define essas senhas remotamente e permite recuperá-las mais tarde.

O Passgen é gratuito e você pode obtê-lo aqui: http://blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

Sean Earp
fonte
Olhando para isso, não tinha certeza se era viável, pois ainda temos alguns computadores usando o SP1 e teríamos que fazer uma implantação de GPP em todo o domínio para fazê-lo funcionar.
22220 Jordan Milne
O artigo da MS em blogs.technet.com/b/grouppolicy/archive/2009/04/22/… não recomenda o uso de GPP para senhas confidenciais. "Como a senha é armazenada no SYSVOL, todos os usuários autenticados têm acesso de leitura. Além disso, ela pode ser lida pelo cliente em trânsito se o usuário tiver as permissões necessárias."
bshacklett
3

Não tenho certeza do que você está procurando aqui, pois seria difícil implantar uma solução de alteração de senha da conta local que funcione de alguma forma para contas de computador online e offline. O processo seria, se for um script ou GP real, para que eles obtenham a alteração da senha em 'algum momento' quando estiverem online. Se você deseja implantar isso como uma ação única em um determinado período de tempo, precisará executar os computadores offline manualmente.

Tenho certeza que você provavelmente leu isso, mas aqui estão algumas soluções sugeridas em uma pergunta anterior relacionada à sua: /server/23490/is-there-a-group-policy-that -daria-empurrar-um-novo-nome-de-usuário-e-senha-para-todo-local

l0c0b0x
fonte
O único tipo de script contra o qual sou realmente contra é aquele que contém a senha em si, nem todos os scripts.
22220 Jordan Milne
11
Como você terá uma máquina para definir uma senha se a senha não estiver no script? O texto simples precisa existir em algum lugar em algum momento. "Passgen", por exemplo, apenas usa uma senha de texto sem formatação e o nome do computador como sal. A "confiança" é apenas movida para a frase secreta, em vez da senha. Você ainda teria que ter essa senha em um script para usar a ferramenta. Você tem que ter confiança em algum lugar. Na minha opinião, um script marcado como "Computadores de Domínio / Leitura" com a permissão "Usuários Autenticados" removida, com permissão para execução em computadores clientes e excluída é bastante segura.
Evan Anderson
2

Empurramos as senhas locais para fora usando o script Powershell Set-LocalPassword.ps1 e obtemos a lista de servidores usando Get-OUComputerNames.ps1 .

Rápido, simples e a senha não precisa ficar esperando para ser encontrada. 

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

No entanto, esta solução não cobre o caso quando uma máquina é desligada. Embora fosse simples o suficiente fazer uma lista de máquinas não pingáveis ​​e lidar com elas mais tarde.

Nathan Hartley
fonte
1

Fazemos isso por meio da Diretiva de Grupo.

Não sei as especificidades de como o GPO é criado, mas está na seção: 

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts

Existem configurações que permitem desativar a conta de convidado e renomear a conta de administrador local.

EDIT: Eu falei errado sobre como alterar a senha local.

Alterar a senha do administrador local é um pouco mais complicado, pelo menos até o Windows Server 2008. Esta solução funciona no Server 2003 e é um pouco complicada, pois envia a nova senha em texto sem formatação. Se isso lhe interessa, existem outras alternativas que criptografam, mas precisam de software adicional. Resolvemos o problema, deixando-o desativado, a menos que seja necessário fazer uma alteração.

1- escreva um arquivo em lotes de 1 linha .. com o comando "NET USER Administrator% 1" - se você renomear a conta, use o novo nome.

2- defina o arquivo em lotes para execução no logon usando o GPO, na seção a seguir 

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- Na entrada GPO, pressione o botão para mostrar os arquivos e copie o arquivo em lotes no local aberto. Em seguida, o arquivo em lotes (incl. Bat) como o nome do script e a nova senha como o parâmetro.

ilustração

tomjedrz
fonte
Eu vejo um para renomear a conta de administrador, mas não alterando a senha.
22220 Jordan Milne
11
Prepare-se para ser atacada por mencionar usando um script com uma senha de texto nele ... sorrir
Evan Anderson
11
Você tem a compactação ativada no seu SYSVOL? Eca ...
Evan Anderson
0

Vou apontar a minha resposta em: Existe uma política de grupo que envie um novo nome de usuário e senha para todas as máquinas locais em uma rede?

Você pode implantar esse script com permissões definidas para permitir apenas que "computadores de domínio" leiam o script (ou um grupo ainda mais restritivo, se você desejar) e configure um grupo de "alçapão", conforme descrevo, para que você possa saber quando todos os computadores processaram o script para que você possa excluí-lo. O script seria executado localmente nos computadores em questão, mas só seria acessível ao contexto de segurança do computador. (Se os usuários tiverem "Administrador" em suas máquinas, isso será um problema. Se eles tiverem "Administrador", você terá problemas maiores do que as senhas locais "Administrador" não definidas. Presumivelmente, os usuários já configuraram métodos para garantir a eles a capacidade de recuperar os direitos de "Administrador" depois de alterar a senha do administrador local ... Eu faria!

Em uma frente completamente diferente, você pode fazer algo louco como um script do lado do servidor que:

  • Pesquisa um grupo de segurança do AD por nomes de computadores membros
  • Tentativas de PING / "NET USE" / etc em cada computador da lista para determinar se estão "online"
  • Executa um "PSPASSWD" no computador remoto, se determinar que está "online"
  • Remova todos os computadores que concluíram com êxito a redefinição de senha do grupo de segurança
  • Durma por um período e repita se o grupo ainda não estiver vazio

Isso manteria o script em execução em um servidor.

Evan Anderson
fonte
0

Gostaria apenas de usar a senha de alteração de arquivo em lote simples e converter esse arquivo em exe ou algo usando o AutoHotKey ou o AutoIT Script. Em seguida, configure esse script para executar como script de inicialização do computador. Para impedir que as pessoas espionem, eu usaria o truque de conceder apenas direitos de leitura a "computadores de domínio" em vez de "usuários autenticados".

KAPes
fonte
0

Como Sean Earp disse, você deseja ter uma senha de administrador local exclusiva para cada uma, alterada regularmente.

Outra maneira que eu prefiro (pelo menos em teoria;) é simplesmente excluir completamente as contas de administrador local e confiar nas contas de domínio para gerenciamento.

Oskar Duveborn
fonte
Não há nenhuma funcionalidade no sistema operacional para excluir a conta de administrador do RID 500. Você pode fazer isso vasculhando o SAM, mas agora está em um território "não suportado". De qualquer maneira, o que acontece quando o relacionamento de confiança da estação de trabalho da máquina fica cheio?
Evan Anderson