在您认为我从安全角度想要实现的目标疯狂之前,请继续阅读:
我正在使用包含明文密码的启动脚本为域中所有计算机上的本地管理员帐户设置密码。
我对该脚本的文件权限受到限制,只有域计算机和域管理员帐户可以访问该文件。
简而言之,您是否仍认为我所做的事情是疯狂的,或者从安全角度来看这是可以的?
诚挚的,fjf2002
编辑
我的使用情况如下:我只需要在出现回退情况时使用本地管理员帐户:计算机退出域或其网络适配器出现故障或类似情况,然后我需要本地管理员帐户。
在我从现在开始管理的域中,不同的计算机具有不同的本地管理员密码,并且前任管理员(我接任的管理员)不记得他曾经设置的凭据,所以我认为我必须将它们全部重置。
答案1
你的情况非常适合LAPS(本地管理员密码解决方案)。
这是 Microsoft 提供的免费工具,用于自动管理加入域的 Windows 计算机上的本地管理员密码,并将其存储在 AD 中,以便您在需要时随时查阅。有许多指南可用于设置它。但如果我没记错的话,它主要包括部署代理(可通过 GPO 软件部署完成)和配置几个组策略设置,这些设置告诉代理轮换密码的频率。