Каков метод промышленного стандарта для администрирования изменения пароля локального администратора для всех машин на домене?
Хороший вопрос и ответ - да существует риск здесь, чтобы Вы оценили. Это позволит пользователю, у которого есть доступ для записи к конкретному каталогу, чтобы создать .htaccess файл и перезаписать различные настройки:
- Подлинные настройки
- Пределы, такие как белые списки/черные списки IP
- Как обрабатываются типы файлов
- Опции на том каталоге
Таким образом, конкретный пример, который Вы имеете, устанавливает глобальный белый список для виртуального хоста, пользователь мог перезаписать это в рамках каталога, в который они могут записать. Или они могли перезаписать Ваши глобальные настройки, требующие авторизованного пользователя.
Для больше того, что может быть сделано, см.: http://httpd.apache.org/docs/1.3/mod/core.html#allowoverride
Если не общая система риск будет довольно минимален как обычно, то весь экземпляр веб-сервера будет работать как тот же пользователь, таким образом, это не будет действительно о том, что происходит, если кто-то взламывает веб-сервер. Это могло быть использовано, если кто-то может найти дыру в сценарии, Вы имеете и можете записать произвольный файл, позволяет, говорят, что у Вас есть некоторый интерфейс загрузки.
Я собираюсь взять свой комментарий в answertown.
Это должна быть третья сторона. Как вы уже отметили, ни один из трех упомянутых вами вариантов не является оптимальным. Microsoft не предлагает идеального способа сделать это. Его просто нет. Это будет сторонняя компания, и она почти наверняка потребует от вас установки программного агента на всех ваших клиентах.
Я разработал решение именно для этой проблемы (за исключением того, что оно работало одновременно во многих лесах и доменах), и оно действительно включало VBscript для максимальной совместимости с максимально возможным количеством различных версий Windows, а также с некоторыми битами C #, а также сторонний программный агент, который, к счастью, компания уже использовала для целей мониторинга и поэтому уже была установлена на каждой машине, которую я смог использовать.
В качестве альтернативы вы можете просто отключить все локальные учетные записи администратора через GPO, что довольно часто. Но если что-то пойдет не так с синхронизацией домена на этом члене домена, восстановление будет больше PITA, чем если бы у вас была учетная запись "локального администратора" для восстановления.
Изменить: Просто для пояснения: я смущен, когда вы говорите, что вы "ищем стороннее решение, которое ... должно быть разработано собственными силами ..." Я бы рассмотрел все, что написано не Microsoft, как встроенный компонент Windows в этом контексте "сторонним". Можете ли вы сделать это с помощью какого-нибудь умного кода, который использует сетевую связь TLS и хранит секреты в базе данных SQL Server с прозрачным шифрованием данных с помощью сложной хеш-функции, которая генерирует уникальный пароль для каждой машины? ДА. Встроен ли он в Windows без каких-либо усилий с вашей стороны? Нет. :)
Что ж, для параметра GPO указанная вами статья Microsoft ( http://code.msdn.microsoft.com/Solution-for-management- of-ae44e789 ) указывает в своей документации (загрузите файл Documentation.zip) следующее:
Передача пароля с управляемого компьютера в Active Directory является защищен шифрованием Kerberos, поэтому невозможно узнать пароль путем прослушивания сетевого трафика.
Подробные технические характеристики - Управление паролем учетной записи локального администратора - стр. 5
Возможно, определение статьи не обновлено, поэтому я предлагаю вам взглянуть на документацию и, возможно, провести некоторое тестирование, отслеживая трафик, чтобы вы могли быть уверены.