服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何保持整个OU的本地pipe理员密码一致?
Intereting Posts
DocumentRoot和目录在apache2 for mac os x有什么区别? VPN客户端通过鱿鱼服务器被阻止 如果我使用的是基于Workgroup的Windowsnetworking,如果我拥有包含Admin Priv的访客帐户,是否需要在所有PC上login所有用户? configurationIIS服务静态文件/ CDN? 如何在Oracle中更改用户的密码? 在Ubuntu上永远是nodejs +的简单新贵脚本 如何在Centos 6.2上安装php 5.3.3的mysqlnd Apache 2启动警告:NameVirtualHost *:80没有VirtualHosts 使用Windows Server 2003阻止SMTP中继命令 在Windows上找不到phpMyAdmin WordPress wp-admin在IIS ARR反向代理之后redirect循环 在WAN上安装Windows Server本地DNS 使SATA磁盘写入caching安全 将Synologyjoin到域中的特定OU 为什么我应该使用路由交换networking?

如何保持整个OU的本地pipe理员密码一致?

我们有许多运行XP SP2的电脑(以及一对运行SP1的电脑)已经投入使用,我们希望保持本地pipe理员的密码在整个OU中保持一致。 我能想到的唯一解决scheme是使用pspassword来更改所有密码,或者在PC上本地运行包含密码的脚本。

不幸的是,pspasswd不能在不在线的计算机上工作,而包含密码的本地脚本将不安全。

还有其他可行的解决scheme吗? 在密码更改时,我如何计算不在线的计算机?

虽然没有可以执行此操作的组策略设置,但会有一个组策略首选项设置。 更多信息,请访问: http : //blogs.technet.com/askds/archive/2007/11/28/introducing-group-policy-preferences.aspx

编辑:另一个select是使用Steve Riley和Jesper Johannson(都是微软以前的)为他们的书“保护你的Windowsnetworking”写的Passgen工具。 它实际上为域中的每台计算机设置了一个唯一的本地pipe理员密码(这是更安全的…如果你有他们一样的,一台计算机的妥协意味着您的域中的所有计算机的妥协)。 从描述:

在本书中,我们build议您在企业中的每个本地pipe理员和服务帐户上维护单独的密码。 当然,如果没有为您自动化的东西,这几乎是不可能的。 这就是Passgen所做的。 该工具根据已知input(您定义的标识符和密码短语)生成唯一的密码,远程设置这些密码,并允许您稍后检索它们。

Passgen是免费的,你可以在这里得到它: http : //blogs.technet.com/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx

我不知道你在找什么,因为这将是很难部署一个本地帐户密码更改解决scheme,将'以某种方式'在线和离线的计算机帐户。 这个过程将会是,如果它是一个实际的脚本或GP,他们在线时在“某个点”更改密码。 如果您想在某个时间段内将其部署为一次性操作,则必须手动执行脱机计算机。

我相信你可能已经读过这个,但是这里有一些解决scheme是在你以前的问题中提出的: https : //serverfault.com/questions/23490/is-there-a-group-policy-that -would-推一个全新的用户名和密码对所有本地

我们使用Powershell脚本Set-LocalPassword.ps1推送本地密码,并使用Get-OUComputerNames.ps1获取服务器列表。

快速,简单,密码不必坐在等待被发现。 

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

但是,这种解决scheme不包括机器closures的情况。 虽然这将是非常简单的列出不能ping通的机器,并在稍后处理。

我们通过组策略来做到这一点。

我不知道GPO如何创build的具体细节,但在以下部分: 

  Computer Configuration / Windows Settings / Security Settings / Local Policies/Security Options / Accounts

有一些设置可以禁用来宾帐户和重命名本地pipe理员帐户。

编辑:我想改变本地密码。

至less在Windows Server 2008之前,更改本地pipe理员密码有点复杂。此解决scheme在Server 2003上工作,并且以纯文本forms发送新密码时有点混乱。 如果你担心,还有其他的selectencryption,但需要额外的软件。 除非我们需要改变,否则我们会解决这个问题。

1-使用命令“NET USER Administrator%1”写入1行batch file – 如果您使用新名称重命名帐户。

2-将batch file设置为在使用GPOlogin时运行,在下一节中 

  Computer Configuration / Windows Settings / Scripts / Startup

3-在GPO条目中,按button显示文件,并将batch file复制到打开的位置。 然后将batch file(包括.bat)作为脚本名称,并将新密码作为参数。

插图

我会指出你的回答: 是否有一个组策略将新的用户名和密码推送到networking上的所有本地机器上?

你可以部署这样的脚本,其权限设置为只允许“域计算机”读取脚本(如果需要的话,可以是更严格的组),然后设置一个“陷门”组,计算机已经处理了脚本,以便您可以删除它。 该脚本将在本地计算机上执行,但只能在计算机的安全上下文中访问。 (如果用户在他们的机器上有“pipe理员”,那么这将是一个问题,但是如果他们有“pipe理员”,那么你的问题就比没有设置本地“pipe理员”密码的问题大了。保证他们能够在您更改本地pipe理员密码后重新获得“pipe理员”权限…我会!>微笑<)

在完全不同的方面,你可以做一些像服务器端脚本那样疯狂的东西:

  • 轮询AD安全组的成员计算机名称
  • 尝试对列表中的每台计算机进行PING /“NET USE”/ etc以确定它们是否“在线”
  • 如果确定“在线”,则对远程计算机执行“PSPASSWD”
  • 从安全组中删除所有成功完成密码重置的计算机
  • rest一段时间,并重复如果该组尚未空

这将保持脚本在服务器上执行。

我只是使用简单的batch file更改密码,并将该文件转换为exe或使用AutoHotKey或AutoIT脚本的东西。 然后将此脚本configuration为以计算机启动脚本运行。 为了阻止人们从事间谍活动,我将使用只给“域计算机”读权限而不是“authentication用户”的技巧。

正如肖恩·厄普(Sean Earp)所说的那样,你希望每个人都有一个独特的本地pipe理员密码,并定期更换。

我更喜欢的另一种方式(至less在理论上)是完全删除本地pipe理员帐户,并依靠域帐户进行pipe理。