Регистрация Войти
Рейтинг:1
avatar Server

Зашифрованы ли объекты групповой политики Windows?

флаг de
scmccart

У нас есть часть программного обеспечения COTS, в котором есть инструмент командной строки для ротации учетных данных сервера.Вместо того, чтобы переходить к каждой машине для ротации учетных данных с помощью инструмента, я хотел бы использовать GPO для запуска сценария для этого. Однако мне нужно будет поместить новые учетные данные в сценарий, поэтому мне интересно, зашифрованы ли файлы сценариев, хранящиеся в объекте групповой политики, в состоянии покоя. Я не нашел какой-либо авторитетной документации, указывающей в любом случае.

84
2 + 4
флаг cn
Greg Askew
Не делай этого. GPO не шифруются.
1
Ответить
флаг de
scmccart
@GregAskew, вот чего я боялся. Любые предложения по альтернативам?
0
Ответить
joeqwerty avatar
флаг cv
joeqwerty
Это может быть вариант использования для LAPS — https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN
3
Ответить
SamErde avatar
флаг gg
SamErde
Хороший, правильный вопрос, который могут задать и другие. Тем не менее, я повторяю рекомендацию Грега против использования незашифрованных паролей в настройках объекта групповой политики.
0
Ответить
Рейтинг:0
avatar Server
флаг cn
Luiz Angelo

Нет, GPOS не шифруются. Если вам нужен авторитетный источник: https://blogs.technet.microsoft.com/srd/2014/05/13/ms14-025-an-update-for-group-policy-preferences/

MS разрешила пароли, но позже поняла, что это угроза безопасности.

Вы можете проверить сами: взгляните на \DOMAIN\SYSVOL и вы увидите, что там ничего не зашифровано.

0 + 1
флаг cn
Luiz Angelo
Кажется, вам нужно установить некоторые учетные данные централизованно. Вы используете скрипт.Я предполагаю, что сценарий запуска? Я бы подумал о том, чтобы сохранить файл с паролем на общем ресурсе, где только вы и учетные записи компьютеров домена будете иметь доступ. Прочтите содержимое файла и установите для него пароль. Или, что еще лучше, поместите скрипт на сервер, где к нему есть доступ только у вас и учетных записей компьютеров, и запустите его прямо оттуда.
0
Ответить
Рейтинг:0
avatar Server
флаг de
scmccart

Кажется, что они не зашифрованы, я пока не нашел обходного пути.

0 + 1
djdomi avatar
флаг za
djdomi
Как насчет управляемой служебной учетной записи? например https://www.advancedinstaller.com/install-service-under-managed-service-account.html — кстати, один из ОСНОВ MCSA — ответ НЕТ, это обычный текст. в случае использования GPO/Script вместо вышеуказанного решения
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.