web-dev-qa-db-ja.com

ドメイン内のすべてのコンピューターのローカル管理者アカウントのパスワードを設定します

セキュリティの観点から私が狂ったように達成したいことを考える前に、読み続けてください:

もちろん、パスワードをクリアテキストで含む起動スクリプトを使用して、ドメイン内のすべてのコンピューターのローカル管理者アカウントのパスワードを設定しています。

スクリプトに対するファイルのアクセス許可が制限されており、ドメインコンピューターとドメイン管理者のアカウントのみがファイルにアクセスできます。

それを短く保つために、あなたは私が何をしたいのかをまだ狂気と考えていますか、それともセキュリティの観点からこれで大丈夫ですか?

心から、fjf2002

[〜#〜]編集[〜#〜]

私のユースケースは次のとおりです。フォールバックシナリオの場合はローカル管理者アカウントが必要です。コンピューターがドメインから脱落するか、そのネットワークアダプターが壊れるか、またはそのようなものになり、ローカル管理者アカウントが必要になります。

これから管理するドメインでは、コンピューターごとにローカル管理パスワードが異なり、以前の管理者(私が引き継いだ)は一度設定した資格情報を思い出せないため、すべてリセットする必要があると思いました。

2
fjf2002

あなたの状況は LAPS(ローカル管理者パスワードソリューション) の完全なユースケースです。

これはMicrosoftの無料ツールで、ドメインに参加しているWindowsマシンのローカル管理パスワードを自動的に管理し、ADに保存しておくと、必要なときにいつでも参照できます。それを設定するためのガイドがたくさんあります。しかし、私が正しく思い出せば、主にエージェントの展開(GPOソフトウェアの展開により実行可能)と、エージェントにパスワードをローテーションする頻度を伝えるいくつかのグループポリシー設定の構成が含まれます。

3
Ryan Bolger