|
Изменение пароля локального Администратора в обход CPassword
Здравствуйте!
Ранее была очень легкая в обращении возможность - создавать и менять пароли на компьютерах, включенных в домен, для локальной учетной записи. Например для единого пароля локального администратора. Для меня стало большим удивлением, когда узнал, что сей функционал подрезали из-за ограниченной безопасности. И решение, которое предложено в этом kb - не очень Опять-же учитывая тот факт, что в моем текущем домене как раз имеется такой пароль и текущая задача - просто его сменить. Подскажите пожалуйста, есть-ли еще варианты? Спасибо! |
Смена пароля локального админа через ГП это был всегда БООЛЬШОЙ косяк, хорошо что исправили. Чего и вам желаю.
Как исправить по быстрому? Никак. Развёртывайте централизованно. MDT+WSUS - бюджетный вариант, платить не надо. Во всяком случае - это быстрее чем. |
winbond, Вопрос не в процессе развертки.
А в том, как изменить существующий пароль. Такие потребности возникают, как по истечению определенного времени, так и по иным нуждам (увольнение сотрудников ИТ). Заблокировать учетную запись не удастся. Много WiFi ноутбуков с авторизацией 802.1х которые не смогут даже на машину зайти по истечению срока действия пароля. И сменить его тоже не смогут. Вообщем пока жизнь без локального админа - не видится. Накопал уже кучу вариантов на эту тему. В основном все сводится к механизму -> ГПО-скрипт на клиенте, который инициализирует -> запуск скрипта на веб-сервере -> который генерит пароли, сейвит файлы и т д . Но это совсем не оперативно :) |
Безопасного способа, скорее всего, нет. Поэтому многие просто блокируют локальных администраторов.
Скрипты передают пароли совсем уж открытым текстом, что ничуть не лучше, чем cpassword. И да, локальным администраторам на 802.1х делать нечего. Для этого есть ограниченные учётные записи. |
Цитата:
я говорю о тех случаях, когда, например пользователь не сменил вовремя свой пароль и в последствии - его просто не пустит и одновременно с этим - и не даст сменить пароль, т.к. соединения с WiFi уже нет (опять-таки из-за истечения срока действия пароля). порой, включить LAN интерфейс необходимо воткнуть шнурок, тут опять необходимо использовать учетку локального администратора. я пока не очень представляю, как можно обойтись без учетки локального админа... Цитата:
|
Нужно тему апнуть :) Проблема та же но есть вариант решения. Запускать с некоторой периодичностью с DC такого содержания скриптик:
Код:
wmic /node:%computername% useraccount where Description="Встроенная учетная запись администратора компьютера/домена" call rename Admin А теперь внимание вопрос: насколько сие секурно? |
Elven, любое наличие пароля в открытом виде - уже не секурным считается.
в тот момент, когда мне надо было оперативно поменять данные на машинах, т.к. увольнялся сотрудник - я ничего проще не нашел - как изменить логин админа на всех машинах. а процесс смены пароля - описывался в некоторых источниках, по средствам веб-сервера и скриптов обращения на него. т.е. пароли генерятся на стороне веб-сервера. |
AxeL_FoX, ну здесь можно упомянуть, что пока к компьютеру можно каким-либо образом получить доступ физически, то никакие пароли уже не помогут, однако меня интересовал не сам факт хранения упомянутого скрипта, а безопасность передачи исполняемого кода таким образом. Какими программными средствами придется воспользоваться пользователю для перехвата.
|
Может быть, попробовать методом, описанным в этой статье?
P. S. И вдогонку — http://www.grouppolicy.biz/2014/05/r...ive-directory/ |
|
|
| Время: 07:26. |
Время: 07:26.
© OSzone.net 2001-