Como mantenho a senha do admin local consistente em uma OU?

Embora não haja uma configuração de Diretiva de Grupo que possa fazer isso, há uma configuração de Preferências de Diretiva de Grupo que o fará. Mais informações aqui: link

Edit: Uma outra opção é usar o utilitário Passgen que Steve Riley e Jesper Johannson (ambos anteriormente da Microsoft) escreveram para o livro "Protect your Windows Network". Na verdade, ele define uma senha de administrador local exclusiva para cada computador no domínio (que é muito mais seguro ... se você os tiver todos iguais, o comprometimento de um computador significa o comprometimento de todos os computadores em seu domínio). A partir da descrição:

In the book, we recommended that you maintain separate passwords on every local administrator and service account in your enterprise. This is, of course, almost impossible to manage without something to automate it for you. That’s what Passgen does. The tool generates unique passwords based on known input (an identifier and passphrase you define), sets those passwords remotely, and allows you to retrieve them later.

O Passgen é gratuito e você pode obtê-lo aqui: link

Não tenho certeza do que você está procurando aqui, pois seria difícil implantar uma solução de alteração de senha de conta local que, de alguma forma, funcionaria para contas de computador on-line e off-line. O processo seria se fosse um script ou GP real, para que eles obtivessem a alteração da senha em algum momento quando estivessem on-line. Se você quiser implantar isso como uma ação única em um determinado período de tempo, você teria que fazer os computadores offline manualmente.

Tenho certeza que você provavelmente já leu isso, mas aqui estão algumas soluções sugeridas em uma pergunta anterior relacionada à sua: link

Nós enviamos senhas locais usando o script Powershell Set-LocalPassword.ps1 e obtemos a lista de servidores usando Get-OUComputerNames.ps1 .

Rápido, simples e a senha não precisa ficar esperando para ser encontrada.

Get-OUComputernames "OU=TheOU,DC=TheDomain" | Set-LocalPassword "TheAccount" "TheNewPassword"

No entanto, esta solução não cobre o caso quando uma máquina é desligada. Apesar de ser simples o suficiente para fazer uma lista de máquinas irrecuperáveis e lidar com elas depois.

Fazemos isso por meio da Política de Grupo.

Eu não sei os detalhes de como o GPO é criado, mas está na seção:

 Computer Configuration
  / Windows Settings
   / Security Settings
    / Local Policies/Security Options
     / Accounts 

Existem configurações para permitir a desativação da conta de convidado e a renomeação da conta de administrador local.

EDIT: Eu falei mal sobre mudar a senha local.

A alteração da senha do administrador local é um pouco mais complicada, pelo menos até o Windows Server 2008. Essa solução funciona no Server 2003 e é um pouco desajeitada, pois envia a nova senha em texto sem formatação. Se isso diz respeito a você, existem outras alternativas que criptografam, mas precisam de software adicional. Abordamos o problema deixando-o desativado, a menos que precisemos fazer uma alteração.

1- escreva um arquivo batch de 1 linha ... com o comando "NET USER Administrator% 1" - se você renomear a conta use o novo nome.

2- defina o arquivo em lote para ser executado no logon usando o GPO, na seção a seguir

 Computer Configuration
  / Windows Settings
   / Scripts
    / Startup

3- Na entrada do GPO, pressione o botão para mostrar os arquivos e copie o arquivo em lotes no local aberto. Em seguida, o arquivo de lote (incl .bat) como o nome do script e a nova senha como o parâmetro.

Vou indicar a minha resposta em: Existe uma política de grupo que enviaria um novo nome de usuário e senha para todas as máquinas locais em uma rede?

Você pode implantar esse script com permissões definidas para permitir que apenas "Computadores do Domínio" leiam o script (ou um grupo ainda mais restritivo, se você quiser) e configurar um grupo "trapdoor" conforme eu descrevo saber quando todos os computadores processaram o script de forma que você possa excluí-lo. O script seria executado localmente nos computadores do assunto, mas só seria acessível ao contexto de segurança do computador. (Se os usuários tiverem "Administrador" em suas máquinas, isso será um problema. Se eles tiverem "Administrador", você terá problemas maiores do que senhas locais não identificadas de "Administrador". Presumivelmente, os usuários já têm métodos de configuração para garantir a eles a capacidade de recuperar os direitos de "Administrador" depois que você alterar a senha do administrador local ... Eu o faria! > sorria <)

Em uma frente completamente diferente, você poderia fazer algo louco como um script do lado do servidor que:

• Pesquisa um grupo de segurança do AD para nomes de computadores de membros
• Tentativas de PING / "NET USE" / etc em cada computador da lista para determinar se estão "on-line"
• Executa um "PSPASSWD" contra o computador remoto se determinar que ele está "online"
• Remova todos os computadores que concluíram com êxito a redefinição de senha do grupo de segurança
• Durma por um período e repita se o grupo ainda não estiver vazio

Isso manteria o script em execução em um servidor.

Gostaria apenas de usar o arquivo de lote simples para alterar a senha e converter esse arquivo em exe ou algo assim usando AutoHotKey ou AutoIT Script. Em seguida, configure esse script para ser executado como script de inicialização do computador. Para impedir que as pessoas espionassem, eu usaria o truque de apenas conceder direitos READ "Domain Computers" em vez de "Authenticated Users".

Como Sean Earp disse, você quer ter uma senha de administrador local única para cada uma, alterada regularmente.

Outra maneira que eu prefiro (pelo menos em teoria;) é simplesmente excluir completamente as contas do administrador local e confiar em contas de domínio para gerenciamento.