Bien qu'il semble y avoir trois options disponibles, dont l'une est réellement sécurisée, il ne semble y avoir que deux choix disponibles qui pourront avoir un impact sur les machines qui ne sont pas sous tension au moment du changement ou qui sont mobiles et n'étaient pas sur le réseau au moment du changement. Aucun des deux ne semble être une option sûre. Les trois options que je connais sont:
- Scripts de démarrage avec .vbs
- GPO utilisant les préférences de stratégie de groupe
- Script Powershell en tant que tâche planifiée.
Je rejette l'option Powershell parce que je ne sais pas comment cibler / itérer efficacement et rejeter les machines déjà modifiées, toutes les machines sur le réseau et quel impact cela aurait sur la surcharge réseau inutile, même si c'est probablement la meilleure solution disponible car le mot de passe lui-même peut être stocké dans un conteneur CipherSafe.NET (solution tierce) et le mot de passe transmis au script sur la machine cible. Je n'ai pas vérifié si Powershell peut obtenir un mot de passe du gestionnaire d'informations d'identification d'une machine Windows locale à utiliser dans le script ou s'il est possible d'y stocker un mot de passe à utiliser avec le script.
L'option de script .vbs n'est pas sécurisée car le mot de passe est stocké en texte clair dans le partage SYSVOL qui est disponible pour n'importe quelle machine de domaine sur le réseau. Quiconque cherche à trouver une porte dérobée et avec un peu de Google trouvera cette porte si elle est suffisamment persistante.
L'option GPO est également non sécurisée, comme indiqué par cette note MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789
Je recherche une solution non tierce qui, je pense, devrait être disponible ou capable d'être développée en interne avec les bonnes connaissances ou les bons conseils.