AD Administradores locais sem compartilhamento de senha

Navegue suas respostas
3

Minha equipe está construindo um ambiente do Active Directory em uma escola de pós-graduação pequena com suporte para laboratórios de informática em geral e gerenciamento de contas e máquinas de funcionários / faculdades.

Temos uma equipe de consultores estudantis que são contratados para fazer um trabalho geral de help desk. A partir de agora, temos uma conta de administrador local em cada máquina. Tem a mesma senha e todos nós sabemos disso. Eu sei que não é uma prática recomendada e quero evitar isso com a nova configuração. Queremos ter contas de administrador local, caso haja problemas de rede que impeçam a autenticação do AD, mas não queremos que essa conta seja genérica com uma senha compartilhada. Existe uma maneira de obtermos cada máquina para armazenar em cache as informações necessárias para autenticar um grupo de administradores locais para que, se o AD estiver de alguma forma inacessível, os consultores de alunos ainda possam fazer login com suas contas de administrador do AD?

    
por Michael 16.03.2012 / 23:03

4 respostas

1

Eu trabalhei neste ambiente no passado, onde as máquinas tinham até 20.000 usuários, e nunca demos direitos de administrador para nossos técnicos em tempo integral que instalaram os sistemas, e nunca teríamos sonhado em dar aos alunos direitos de administrador por causa do risco de encontrar partes LAN do Doom / Quake / Minecraft nos laboratórios fora do horário de trabalho.

Se você estiver usando alguma tecnologia de implantação para reinstalar os sistemas, leva apenas alguns minutos de tempo técnico para reinstalar o computador. É muito mais eficiente ter alguém que refaça a imagem do sistema do que alguém que faça logon para diagnosticar / corrigir o problema. Não são necessários direitos de administrador, pois a implantação pode lidar com todos os parte dos processos de implantação.

Se for um problema de hardware, isso será exibido em minutos se você estiver usando um método de implantação baseado em rede. Nesse ponto, o técnico / aluno simplesmente desconecta o PC com um sobressalente e diagnostica & corrige o problema de hardware antes de fazer desta máquina o novo sobressalente.

Problemas de rede, como você descreveu, eram muito raros na minha experiência, e geralmente se resumiam a falhas de hardware, em vez de falhas de software, novamente, sem direitos de administrador necessários.

    
por 19.03.2012 / 09:37
0

ative as credenciais em cache no domínio e crie um disco de redefinição de senha para a conta local. No entanto, acho que você estará ocupado demais com outros problemas, caso todo o seu domínio desapareça, que trabalho os usuários realizam sem a conectividade da rede? Presumindo que suas credenciais não estejam armazenadas em cache, você permitirá que elas façam login como administradores?

    
por 17.03.2012 / 01:46
0

Quando o Active Directory estiver em funcionamento, ele será usado para mais do que apenas acesso de administrador local, portanto, seria mais proveitoso ter maior disponibilidade de serviços de AD com vários Controladores de Domínio no ambiente. Para economizar recursos, você pode manter um controlador de domínio como físico e outros no ambiente virtual.

    
por 17.03.2012 / 19:07
0

É bom ter um backdoor. Existem algumas coisas que você pode fazer.

1. Administrador de Emergência

Você pode criar um usuário de emergência em cada computador usando um GPO. Desta forma, a senha continua a mesma em todos os computadores, mas é muito fácil alterá-la todos os meses.

Você pode fazer isso em:

Configuração do computador - > Preferências - > Configurações do painel de controle - > Usuários e grupos locais.

Certifique-se de ter a senha definida como "nunca expirar" e não use "O usuário deve alterar a senha no próximo logon". Você pode adicionar o usuário ao grupo de administradores locais também pelo GPO. Você vai encontrá-lo em:

Configuração do computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Grupos restritos

2. Alterar o script da senha

Você pode definir um script de inicialização para cada computador que altera a senha para um valor aleatório e grava a senha em um local (seguro) na rede.

Você pode fazer o download de um script que eu escrevi no meu blog: link

    
por 19.03.2012 / 09:22

Tags

Como criar objeto de política de grupo local a partir do domínio GPO O passageiro não é executado na primeira carga, mas é iniciado com sucesso após a atualização única