AD Локальные Администраторы без совместного использования пароля
Учитывая структуру оценки EC2 Amazon это не стоит многого для разжигания маленького (m1.small) экземпляра и удара вокруг на нем в течение нескольких часов, и закрываться это отступает и все еще не стоило Вам больше, чем несколько долларов. С маленьким экземпляром рабочие $0.10/часа дело не в этом дорогой, чтобы дать ему пробный шанс. Необходимо было бы сделать много устройства хранения данных и партию пропускной способности, чтобы заставить их становиться высокими в течение пары часов также.
Я работал в этой среде в прошлом, когда на машинах было до 20000 студентов-пользователей, и мы даже никогда не давали права администратора нашим штатным техническим специалистам, которые устанавливали системы, и мы никогда не мечтали дать студентам права администратора из-за риска обнаружить группы Doom / Quake / Minecraft LAN в лабораториях за пределами рабочего времени.
Если вы используете какую-либо технологию развертывания для переустановки систем, переустановка ПК займет всего несколько минут технического времени. Это' Намного эффективнее попросить кого-нибудь заново создать образ системы, чем попросить кого-нибудь войти в систему для диагностики / устранения проблемы. Права администратора не требуются, поскольку развертывание может обрабатывать каждую часть процессов развертывания.
Если это проблема с оборудованием, это проявится в течение нескольких минут, если вы используете метод развертывания на основе сети, по адресу В этот момент техник / студент просто меняет компьютер на запасной, диагностирует и устраняет аппаратную проблему, прежде чем сделать эту машину новой.
Проблемы с сетью, как вы описываете, были очень редки в моем опыте и обычно сводились к аппаратные сбои, а не сбои программного обеспечения, опять же, права администратора не требуются.
Бэкдор - это хорошо. Вы можете кое-что сделать.
1. Emergency Admin
Вы можете создать экстренного пользователя на каждом компьютере с помощью GPO. Таким образом, пароль остается одним и тем же на всех компьютерах, но его очень легко менять примерно раз в месяц.
Вы можете сделать это в:
Конфигурация компьютера -> Настройки -> Настройки панели управления -> Локальные пользователи и группы.
Убедитесь, что у вас установлен пароль «никогда не истекает» и не используйте «Пользователь должен сменить пароль при следующем входе в систему». Вы можете добавить пользователя в группу локальных администраторов также с помощью GPO. Вы найдете его в:
Конфигурация компьютера -> Политики -> Настройки Windows -> Настройки безопасности -> Группы с ограниченным доступом
2. Сценарий смены пароля
Вы можете определить сценарий запуска для каждого компьютера, который изменяет пароль на случайное значение и записывает пароль в (безопасное) место в сети.
Вы можете загрузить сценарий, который я написал в своем блоге : http://zeda.nl/b05
включить кэшированные учетные данные в домене и создать диск сброса пароля для локальной учетной записи. Я думаю, однако, что вы будете слишком заняты другими проблемами, если весь ваш домен исчезнет, какую работу выполняют пользователи без подключения к сети? Предполагая, что их учетные данные не кэшированы, вы позволите им всем войти в систему как администраторы?
После того, как Active Directory будет установлен, он будет использоваться не только для доступа локального администратора, поэтому было бы более плодотворно повысить доступность служб AD за счет наличия нескольких контроллеров домена в среде. . Для экономии ресурсов вы можете оставить один контроллер домена физическим, а другие - в виртуальной среде.