활발한 디렉토리(광고)도메인 환경에(서)윈도즈 고객(위)에 특정한 현지 사용자 어카운트(전형적으로 현지 관리자 어카운트)에 대한 독특하고 복잡한 패스워드의 과제를 확실하게 하기 위해 "SetLocalPassword.vbs"에(게)있다 SetLocalPassword.v2.txt just 스크립트의 목적 고친다.
할 수 있다 있어라 사용된 추론해라 원하여라 명시해 지는 account 있어라 원하여라 확실하게 해라 사용되고 있다 있다 바뀌고 주고 있다 로그온해라 이용하 그렇지 않으면 예를 들면 활발하게 그러나 독특하게 정규적으로 그리고 가능하게 각 당신 1 다른 하나 지역 사용자 관리자 당신 그것 패스워드 컴퓨터 그것 패스워드 시기 시간 그것 당신 패스워드 아무 것 시간 아직도 쓴다. 대개 내가 고객에게 단지 현지 관리자 어카운트의 효력을 없애는 것을 권할 것이거나 패스워드를 그룹 정책 선호(다른 보안구역에서 되도록이면 다른 패스워드)을 이용하게 만들 것이지만 이들 솔루션이 환경에(서)유용하지 않다면 "ChangeLocalPassword.vbs"이 옳은 솔루션일 수 있었다.
의도는 광고에(서)적절한 컴퓨터를 겨냥하는 그룹 정책 물건(GPO)안에서 "시동 스크립트가" accounts이서(아마 당신이 GPO의 것이 광고 보안 그룹,WMI 필터,조직 유닛(OU 도메인 and/or 사이트)에 의하여 걸러 질 수 있다는 것을 알 것이서)스크립트를 수행하는 것이다. 우리가 스크립트가 있다는 것을 확실하게 한다는 이쪽은 우리가 현지 컴퓨터(s)(위)에 무엇이든 거의 할 수 있는 "시스템" 문맥에(서)수행했다. 문제의 자원(이 경우에는 파일 몫)이 접속을 하기 위해 "도메인 컴퓨터," 특정한 광고 컴퓨터 어카운트 og"이 사용자가 진품임을 증명했다"을 허락하는 한 게다가 시스템은 컴퓨터를 대신하여 네트워크 자원에 접근할 수 있다.
그룹 "진품임이 증명된 사용자"가 2013이 도메인 안에서 모든 사용자가 가능한 패스워드가 읽힌 그 경우에는 이용한 GPO에 의하여 쳐 진 모든 컴퓨터 상의 네트워크 몫으로의 액세스를 받지 않는다는 것은 중요하다. 물론 있을 수 있다 완전한 컨트롤을 모든 사람에 갖다대라 그러나 NTFS이 그룹 "도메인 컴퓨터"의 유일한 멤버가 읽고 쓰기 위해 허락할 준비가 되어 있어야 한다-도메인 관리자와 다른 적절한 그룹(예를 들면 helpdesk와 지지자와 백업 어카운트 기타 등등)이 또한 액세스를 읽었어야 했다 허가를 함께 나눠라(숨겨진 share$일 수 있었다). 당신이 분산 화일시스템(DFS)을 가진다면 그것 위로,달리는 것이 네트워크 몫으로서 사용될 수 있었다.
이것은 스크립트 사이클을 설명한다:
1. 시스템 어카운트가 부트 과정 중에 컴퓨터에 의해 사용된다.
2. DNS와 광고가 연락하고 그룹 정책이 처리된다(정책을 기계로 만든다)
3. 시동 스크립트가 있는 GPO이 실린다.
4. VBS 스크립트가 또한 시스템 문맥에(서)실행된다.
5. 현지 로그 파일(strLocalLog)에(게)모든 활동을 기록한다.
6. 약간의 예비 체크를 행한다 이것은 strLocalStamp와 네트워크 액세스(strNetShare)의 마지막 수정을 포함한다.
7. 패스워드(strNewPassword)이 다른 4 criteras(intPasswordLength와 intWantNumber와 intWantLcase와 intWantUcase)으로부터 만들어 내 진다.
8. 중심 로그 파일(strnetFile)에(서)사용자 ID와 패스워드(명확한 텍스트)을 기록한다.
9. 8이 어떤 오류도 없이 마무리되었을 경우에만 선택된 현지 사용자 어카운트(strLocalUser)이 새로 만들어 내 진 패스워드를 할당해 진다.
10. 현지 타임스탬프 파일이 만들어 지거나 9이 성공적으로 마무리되었다면 부분 수정된다.
약간의 중요한 노트...
1 번째와 가장 중요한 사람은 적절한 관리자보다 GPO이 가리키고 있는 스크립트 파일이 다른 사람(것)들에 의하여 부분 수정될 수 없다는 것을 확실하게 해야 한다. 사용자가 그 파일에 기록 접속을 한다면 그나 그녀는 코드를 집행하는 모든 기계(위)에 장소적으로 무엇이든 할 수 있다. 이것은 사용되어서 물론 GPO 시동 어떤 스크립트도 사실이다.
주목할 또다른 중요한 것은 당신의 사용자가 현지 관리와 경영 권리를 가지는 것(내가 바라지 않는 것)이라면 그들이 두서너 길(방법)에(서)솔루션"을 마구 자를 수 있을 것이다는 것이다" . 넌지시 비치어라 그들이 물론 가능한 모두의 1 번째가 모든 현지 사용자 어카운트를 위해 패스워드를 다시 놓았지만 그들이 조금이라면 영리하게 그들이 또한 시스템 어카운트를 인수할 수 있을 것이다: 명령과 PSEXEC와 액세스에(서)네트워크는 우리가 2013을 이용하고 있고 이렇게 로그 파일을 읽었고 모든 명확한 텍스트 패스워드와 더불어 부분 수정하고 함께이다 나눈다. 그러나 세계에(서)누가 옳게 사용자가 주먹 장소에(서)현지 관리자임 을 인정할 것입니까?
스크립트가 수행하는 것 너무 오랫동안 취한다면 시동이 의지 휴식 시간의 원고를 쓰지만 우리가 두 번째보다 보다 적은 수에(서)일반적으로 실행된 이 스크립트에 그러한 문제가 있지 말아야 한다. 시동 스크립트는 "언제나 컴퓨터 시동과 로고" 세팅"에(서)네트워크를 위해 기다림"이 결정된다 스크립트가 그럼에도 불구하고 둘 다 케이스에서 일하여야 한다 다르게 의존해서(위)에 그렇지 않으면 서로 영향을 미치지 않는다.
주문형 변수를 봅시다.
intDays = 60
채무 불이행: 패스워드 사이에(서)60 일은 변한다.
strNetShare" =" "\\SERVER\SHARE\"
옳은 NTFS 허가가 놓이면서 몫이라고 정의해라
아마도 DFS(위)에 숨겨진 몫일 수 있었다 있다.
trailing 백슬래쉬나 스크립트가 실패할 것이라는 것을 기억해라!
strLocalLog" =" "C:\admpwd.log"
모든 활동의 현지 로그 파일의 패스워드를 제외하고 그 자체 배치
strLocalStamp" =" "C:\admpwd.stp"
타임스탬프로서 사용된 파일의 배치
strLocalUser" =" "테스트 사용자"
사용자 어카운트를 컨트롤(예를 들면 "관리자" )에 임명해라)
intPasswordLength = 12
패스워드가 정확하게 가져야 하는 캐릭터의 숫자
도메인 최소로서 패스워드 길이 적어도 같은 것임 에 틀림 없다.
intWantNumbers = 1
반드시 패스워드가 할 것이었던 세트는 숫자(복잡성 요건)을 가지고 있다.
intWantLcase = 1
반드시 패스워드가 할 것이었던 세트는 소문자 편지(복잡성 요건)을 가지고 있다.
intWantUcase = 1
반드시 패스워드가 할 것이었던 세트는 대문자 편지(복잡성 요건)을 가지고 있다.
디폴트" 현지 strLocalLog" "c:\admpwd.log" 로그 파일의 예:
2009-05-22 13:20:26 시작해 진다.
2009-05-22 13:20:26[변수-A]
2009-05-22 13:20:26-intDays: 1
2009-05-22 13:20:26-strNetShare: '\\SERVER\SHARE\'
2009-05-22 13:20:26-strLocalLog: 'C:\admpwd.log'
2009-05-22 13:20:26-strLocalStamp: 'C:\admpwd.stp'
2009-05-22 13:20:26-strLocalUser: '테스트 사용자'
2009-05-22 13:20:26-strComputer: 'COMPUTER1'
2009-05-22 13:20:26-strNetFile: '\\SERVER\SHARE\COMPUTER1.log'
아마 처음(에)밝혀 졌을 것이라는 2009-05-22 13:20:26 스테이터스-현지 스탬프 파일이지 않기
2009-05-22 13:20:26 성공-ALIVE:\\SERVER\SHARE\
2009-05-22 13:20:26[변수-B]
2009-05-22 13:20:26-intPasswordLength: 12
2009-05-22 13:20:26-intWantNumbers: 1
2009-05-22 13:20:26-intWantLcase: 1
2009-05-22 13:20:26-intWantUcase: 1
2009-05-22 13:20:26 성공-PWD 세트: '테스트 사용자'
PWD 편지를 써 진 2009-05-22 13:20:26 성공: '\\SERVER\SHARE\COMPUTER1.log'
2009-05-22 13:20:26 성공-써 진 타임: 'C:\admpwd.stp'
2009-05-22 13:20:26 마무리된다.
2009-05-22 13:27:45 시작해 진다.
2009-05-22 13:27:45[변수-A]
2009-05-22 13:27:45-intDays: 1
2009-05-22 13:27:45-strNetShare: '\\SERVER\SHARE\'
2009-05-22 13:27:45-strLocalLog: 'C:\admpwd.log'
2009-05-22 13:27:45-strLocalStamp: 'C:\admpwd.stp'
2009-05-22 13:27:45-strLocalUser: '테스트 사용자'
2009-05-22 13:27:45-strComputer: 'COMPUTER1'
2009-05-22 13:27:45-strNetFile: '\\SERVER\SHARE\COMPUTER1.log'
2009-05-22 13:27:45 스테이터스-최종 갱신 스탬프: 22-05-2009 13:20:26
보다 2009-05-22 13:27:45 스테이터스는 젊은이를 쾅쾅 구른다: 1 일!
2009-05-22 13:27:45 마무리된다.
computername .log 네트워크 로그 파일이라고 명명된 strNetFile의 예:
2009-05-20 13:20:26 테스트 사용자: 'W57Ja6c5Xcus'
2009-05-22 08:10:39 테스트 사용자: 'sdEc7s9Gbba8'
최종적인 노트:
윈도즈 2000,윈도우즈 XP,윈도즈 조망과 윈도즈 서버 2003와 윈도즈 서버 2008와 창 7에서 코드가 가장 정확하게 낙관하고 더 예쁠 수 있었지만 그것이 매력과 예쁜 단식처럼 또한 효과가 있다.
나는 그것이 그쪽에서 어떤 사람에 유용한 것-즐기는 것이 드러나기를 바란다!
Jakob H. 하이델베르크에 의하여 쓰이어 지는 것. 소스 웹사이트가 있고 더입니까 대단한 먹이를 읽는다.
노-코멘트.
그룹 정책 선호와 그룹 정책과 otherSoftware와 쓰기,스크립트와 패스워드와 그룹 정책과 증권에 관한 더 많은 기사를 읽어라.
- + Digg: 이 기사를 특별히 다뤄라
- + Del.icio.us: 이 물품 북마크
- + Furl: 이 물품 북마크
