Windows Server 2012 — WDS 已安装并配置为在多个客户端上部署 Windows Server 2012。
我们将部署多个 Windows Server 2012 客户端,每个客户端都不应知道其他客户端的初始密码。
WDS 服务器image_unattended.xml按以下方式存储分配给每个图像的内容:
{WDSRoot}/Images/{ImageGroupName}/{ImageName}/Unattend/ImageUnattend.xml
此文件夹及其包含的文件可供通过以下方式验证的所有用户使用client_unattended.xml:
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Unattended</Username>
<Domain>WORKGROUP</Domain>
<Password>{Password}</Password>
</Credentials>
有没有办法将访问权限限制为仅一个所需用户?
另一方面如果有一个安全的机制来加密管理员密码就好了image_unattended.xml,但据我所知,它只能通过添加“AdministratorPassword”进行 base64 编码:
因此,mystrongpassword变成了bXlzdHJvbmdwYXNzd29yZEFkbWluaXN0cmF0b3JQYXNzd29yZA==,每次都可以解码*翻白眼
是否有其他方法可以(真正)加密/散列 xml 中的密码?
如果没有,是否可以设置image_unattended.xml文件的用户权限?
编辑:也许netsh advfirewall是可行的办法,不让其他(已安装的)客户端浏览 WDS 服务器上的所有数据?
答案1
我不确定仅使用部署工具是否可以实现您所寻找的功能,但您应该研究一下 LAPS(本地管理员密码解决方案)。这会自动将本地管理员密码更改为唯一的密码,并将其存储在 Active Directory 中。
https://technet.microsoft.com/en-us/mt227395.aspx
可通过组策略配置,以根据 OU 进行管理或取消管理。它还允许您设置频率和复杂性。您可以将其添加为部署序列中的步骤或任务。
答案2
这是一个老话题了,但如果你碰巧遇到了这个。我认为这更多的是混淆,而不是真正的安全,但你应该检查一下。https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/wsim/hide-sensitive-data-in-an-answer-file