Рейтинг:1

Зашифрованы ли объекты групповой политики Windows?

флаг de

У нас есть часть программного обеспечения COTS, в котором есть инструмент командной строки для ротации учетных данных сервера.Вместо того, чтобы переходить к каждой машине для ротации учетных данных с помощью инструмента, я хотел бы использовать GPO для запуска сценария для этого. Однако мне нужно будет поместить новые учетные данные в сценарий, поэтому мне интересно, зашифрованы ли файлы сценариев, хранящиеся в объекте групповой политики, в состоянии покоя. Я не нашел какой-либо авторитетной документации, указывающей в любом случае.

флаг cn
Не делай этого. GPO не шифруются.
флаг de
@GregAskew, вот чего я боялся. Любые предложения по альтернативам?
joeqwerty avatar
флаг cv
Это может быть вариант использования для LAPS — https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN
SamErde avatar
флаг gg
Хороший, правильный вопрос, который могут задать и другие. Тем не менее, я повторяю рекомендацию Грега против использования незашифрованных паролей в настройках объекта групповой политики.
Рейтинг:0
флаг cn

Нет, GPOS не шифруются. Если вам нужен авторитетный источник: https://blogs.technet.microsoft.com/srd/2014/05/13/ms14-025-an-update-for-group-policy-preferences/

MS разрешила пароли, но позже поняла, что это угроза безопасности.

Вы можете проверить сами: взгляните на \DOMAIN\SYSVOL и вы увидите, что там ничего не зашифровано.

флаг cn
Кажется, вам нужно установить некоторые учетные данные централизованно. Вы используете скрипт.Я предполагаю, что сценарий запуска? Я бы подумал о том, чтобы сохранить файл с паролем на общем ресурсе, где только вы и учетные записи компьютеров домена будете иметь доступ. Прочтите содержимое файла и установите для него пароль. Или, что еще лучше, поместите скрипт на сервер, где к нему есть доступ только у вас и учетных записей компьютеров, и запустите его прямо оттуда.
Рейтинг:0
флаг de

Кажется, что они не зашифрованы, я пока не нашел обходного пути.

djdomi avatar
флаг za
Как насчет управляемой служебной учетной записи? например https://www.advancedinstaller.com/install-service-under-managed-service-account.html — кстати, один из ОСНОВ MCSA — ответ НЕТ, это обычный текст. в случае использования GPO/Script вместо вышеуказанного решения

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.