Який галузевий стандартний метод управління зміною пароля локального адміністратора для всіх машин у домені?

Хоча, як видається, є три доступні варіанти, один з яких насправді безпечний, але, здається, є лише два доступні варіанти, які зможуть впливати на машини, які не ввімкнуті в момент зміни або є мобільними і не були в мережі на час змін. Жодне з двох не є безпечним варіантом. Я знаю три варіанти:

1. Сценарії запуску з .vbs
2. GPO, використовуючи налаштування групової політики
3. Сценарій Powershell як заплановане завдання.

Я відкидаю варіант Powershell, тому що не знаю, як ефективно націлювати / повторювати та відхиляти вже змінені машини, всі машини в мережі та який вплив може мати на непотрібні накладні витрати мережі, хоча це, мабуть, найкраще доступне рішення оскільки сам пароль може зберігатися в контейнері CipherSafe.NET (стороннє рішення), а пароль передається в сценарій цільовій машині. Я не перевіряв, чи Powershell може отримати пароль від диспетчера авторизованих даних локальної машини Windows для використання в сценарії, чи можливо зберегти пароль там для використання зі скриптом.

Варіант сценарію .vbs не є безпечним, оскільки пароль зберігається в чистому тексті в спільному доступі SYSVOL, який доступний для будь-якої доменної машини в мережі. Кожен, хто шукає знайти задню дверцята і з трохи Google, знайде її, якщо буде достатньо стійкою.

Параметр GPO також незахищений, як зазначено у цій примітці MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Я шукаю не стороннє рішення, яке, на мою думку, повинно бути доступним або здатним розробитись вдома з правильними знаннями чи рекомендаціями.

Я збираюся йти вперед і взяти свій коментар до відповіді.

Це доведеться бути третьою стороною. Як ви вже зазначали, жоден із трьох варіантів, які ви згадуєте, не є оптимальним. Microsoft не пропонує ідеального способу цього зробити. Просто одного немає. Це буде третя сторона, і вона майже напевно передбачає встановлення програмного агента для всіх ваших клієнтів.

Я розробив рішення для цієї точної проблеми (за винятком того, що він працював у багатьох лісах та доменах одночасно), і він передбачав VBscript для максимальної сумісності з якомога більшою кількістю різних версій Windows, а також деякими C # бітами, а також 3-м. програмний агент партії, який, на щастя, компанія вже використовувала для моніторингових цілей, а тому вже встановлена ​​на кожній машині, яку я міг використовувати.

Крім того, ви можете просто відключити всі локальні акаунти адміністратора через GPO, що є досить поширеним явищем. Але якщо з синхронізацією домену на цьому члені домену щось піде не так, відновлення буде більше PITA, ніж якби у вас був обліковий запис "локального адміністратора".

Редагувати: Просто для уточнення: я розгублений, коли ви говорите, що ви "шукаєте сторонне рішення, яке ... має бути здатне розробитись вдома ...", я б вважав, що не написав Microsoft як вбудований компонент Windows у цьому контексті "сторона". Чи можете ви це зробити з яким-небудь розумним кодом, який використовує мережеві комунікації TLS і зберігає секрети в базі даних SQL Server з прозорим шифруванням даних з деякою складною хеш-функцією, яка генерує унікальний пароль для кожної машини? ТАК. Чи вбудований він у Windows без необхідних зусиль? НІ. :)

Щодо параметра GPO, зазначена вами стаття Microsoft ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) у своїй документації (завантажте файл Documentation.zip) це:

Передача пароля з керованого комп'ютера в Active Directory захищена шифруванням Kerberos, тому неможливо дізнатися пароль, обнюхуючи мережевий трафік.

Детальна технічна специфікація - Керування паролем локального облікового запису адміністратора - стор. 5

Можливо, визначення статті не оновлюється, тому я кажу, що ви подивитеся на документацію і, можливо, зробите тестування, обнюхуючи трафік, таким чином ви можете бути впевнені.