האם ניתן לביצוע ????

[snup]

האם ניתן לביצוע ????

רשת מבוססת מייקרוסופט, AD 2003, תחנות קצה 2000 - XP. אני רוצה להחליף את סיסמת ה- Local Admin בכל תחנת קצה בו זמנית מבלי הצורך לקפוץ מתחנה לתחנה. קיימות 550 תחנות לא באותו מיקום גיאוגרפי. האם מישהו מכיר איזשהו פיצ'ר שמבצע את הפעולה?, חיפשתי באתר של פטרי ולא מצאתי, מישהו יכול לתת עיוון.

 

[mavor]

אני לא זוכר את השם אבל יש UTIL

של מיקרוסופט אצמם אפילו אם אני לא תועה הוא מחליף סיסמה ועוד כמה דברים משעשים אני יכול לחפס אם זה חשוב

 

[פוֹלי]

תציץ פה

לינק

 

[antidot]

------->

כמה אופציות קיימות: 1) שימוש ב startup scripts ושימוש ב net user או vbscript הבעיה הכי חמורה: הסיסמא נשמרת בscript בclear text ואפילו אם תתן הרשאות קריאה לסקריפט רק ל Domain Computers, כל משתמש לוקלי שהוא local administrator יוכל להפוך ל local system ולקרוא את הקובץ. ממש לא מומלץ 2) כמו 1 רק תוך שימוש בכלים שמבצעים code obfuscation או הצפנה. כלי שאני מוצא מאוד שימושי למקרים כאלה הוא CPAU שוב: למרות שהסיסמאות לא גלויות לעיין, זה עדיין מאפשר offline brute force attack. תזכור שמדובר בסיסמא של כל התחנות ואתה לא רוצה שפתאום איזה משתמש מתחכם יקבל גישה לכל התחנות. 3) הרצת סקריפט מרחוק שמושך מAD את רשימת התחנות ועבור כל אחת מהן משנה את הסיסמא מרחוק. חיסרון: מחשב שאינו מחובר בזמן הרצת הסקריפט - סיסמתו לא תעודכן 4) שימוש בכלי חיצוני. אם אני לא טועה Hyena יודע לשנות סיסמאות מרחוק, אבל אין לזה שום ערך מוסף לשינוי סיסמאות מרחוק דרך סקריפט. 5) שילוב של 2 ו-3. במכה ראשונה מריצים סקריפט שיוצר רשימה של תחנות בהן הסיסמא הוחלפה. בנוסף הסקריפט יוצר רשימה של תחנות שעידכונן לא צלח. בשלב שני מתזמנים שינוי סיסמאות לתחנות שעדיין לא עודכנו ומוסיפים לstartup scripts את התהליך של עידכון סיסמא (די קל לשים encrypted job בעזרת CPAU ). בכל השלבים צריך לייצר לוגים שיאפשרו מעקב אחרי תהליך העידכון על מנת לקבל תמונת מצב של השינוי. בלינק הבא תמצא הפניות גם לסקריפט לדוגמא וגם הפניות לכלים נוספים: http://www.petri.co.il/forums/viewtopic.php?t=2001