централизованая смена пароля
Модератор: Модераторы
Сообщений: 13
• Страница 1 из 2 • 1, 2
dustcore » 15 ноя 2005, 11:40
добрый день!
возник вопрос: а можно ли централизовано политикой изменить пароль локал админу? я не нашел - может просто плохо искал?
спасибо!
возник вопрос: а можно ли централизовано политикой изменить пароль локал админу? я не нашел - может просто плохо искал?
спасибо!
- Stratofortress
- хм...
-
- Сообщения: 611
- Зарегистрирован: 07 апр 2004, 17:10
- Откуда: ссср
Stratofortress » 15 ноя 2005, 12:59
dustcore
ровно один скрипт.
ровно один скрипт.
| Код |
| Set objContainer = GetObject("LDAP://cn=Computers,dc=ДОМЕН,dc=ru")
objContainer.Filter = Array("computer") Err.Clear On Error Resume Next For each objComputer In objContainer strComputer = objComputer.cn Set objUser = GetObject("WinNT://" & strComputer & "/,user") objUser.SetPassword "НОВЫЙ ПАРОЛЬ" objUser.SetInfo Next Wscript.Echo "done" [/code] нет времени разбираться — наймите того, кто знает.
Xenon[BMSTU]
Конечно. А еще есть любители вставлять такой скрипт в GPO, как startup, т.е. любой желающий и знающий может этот пароль посмотреть 
Встроенный пользователь administrator на рабочей станции, в доменных структурах воще не нужен и должен быть деактивирован. Так же должен быть запрещен сетевой вход на комп с использованием этой учетки.
slz
делать это логон-скриптом глупо. Xenon[BMSTU] ну и что? 
пароль локального администратора сбрасывается на "раз". достаточно иметь физический доступ к машине. о чём разговор? а тётя зина "с бухалтерии" сниффер запускать ради этого не станет. нет времени разбираться — наймите того, кто знает.
slz
я не сомневаюсь. просто товарищ, видимо, передавал переменную %computername% в качестве параметра скрипту. возможно, он заодно менял всем пользователям (переменная %username%) пароль на один и тот же. нет времени разбираться — наймите того, кто знает.
Stratofortress
Нет, вот чего он делал ON error resume next Set objNetwork = WScript.CreateObject("WScript.Network") strComputer = "." Set objUser = GetObject("WinNT://" & objNetwork.ComputerName & "/Администратор, user") objUser.SetPassword "1234567890" objUser.SetInfo Set objUser = Nothing set objNetwork = Nothing И все это воткнуто в startup скрипт в GPO.
slz
всё верно. но.
если пользователь — локальный админ. раз. если в домене все пользователи и так есть локал админы где хотят, то пароль какого-то там ещё %computername%/администратор в открытом виде — ерунда. он — этот пользователь — сможет и так его сменить на какой угодно.
второе. рациональность. можно ведь в цикле опросить все машины в домене (можно и не в домене), проанализировать их доступность (ping) и, будучи локал админом, сменить пароли? скрипт держать где угодно, подальше от пользователей и запускать шедулером от своего имени.
т.е., всё-таки, делать подобные вещи из логон-скрипта imho глупо. нет времени разбираться — наймите того, кто знает.
Сообщений: 13
• Страница 1 из 2 • 1, 2
Вернуться в Автоматизация процесса управления Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |