管理域中所有计算机的本地管理员密码更改的行业标准方法是什么？

尽管似乎有三个可用选项，其中之一实际上是安全的，但似乎只有两个可用选项将能够影响更改时未开机或移动且不在网络上的计算机在更改时。两者似乎都不是安全的选择。我知道的三个选项是：

1. .vbs的启动脚本
2. 使用组策略首选项的GPO
3. Powershell脚本作为计划任务。

我拒绝了Powershell选项，因为我不知道如何有效地定位/迭代并消除已经更改的计算机，网络上的所有计算机以及对不必要的网络开销有什么影响，即使它可能是最佳的可用解决方案因为可以将密码本身存储在CipherSafe.NET（第三方解决方案）容器中，并将密码传递给脚本到目标计算机。我没有检查过Powershell是否可以从本地Windows计算机的凭据管理器中获取密码以在脚本中使用，或者是否可以在其中存储密码以供脚本使用。

.vbs脚本选项不安全，因为密码以明文形式存储在SYSVOL共享中，该共享可用于网络上的任何域计算机。想要找到后门并且带有一点Google知识的人，只要足够持久，就会找到该后门。

如以下MSDN注释所述，GPO选项也不安全：http : //code.msdn.microsoft.com/Solution-for-management-of-ae44e789

我正在寻找一种非第三方解决方案，我认为该解决方案应该可用或可以在正确的知识或指导下自行开发。

我将继续对answertown发表评论。

它必须是第三方。正如您已经指出的，您提到的三个选项都不是最佳选择。Microsoft没有提供执行此操作的完美方法。只是没有一个。这将是第三方，并且几乎肯定会涉及到您在所有客户端上安装软件代理。

我为这个确切的问题开发了一个解决方案（除了它同时适用于许多森林和域），并且确实包含了VBscript以最大程度地与尽可能多的Windows不同版本以及一些C＃位以及第3个版本兼容。幸运的是，该公司已经将第三方软件代理用于监视目的，因此已经安装在我能够利用的每台计算机上。

另外，您可以通过GPO禁用所有本地Admin帐户，这很常见。但是，如果该域成员上的域同步出现问题，则恢复将比您拥有恢复“本地管理员”帐户的更多。

编辑：只是为了澄清：当您说您正在“寻找一个非第三方解决方案，应该能够在内部开发……”时，我很困惑。作为Windows的内置组件，在这种情况下为“第三方”。您是否可以使用一些巧妙的代码来实现此目的，这些代码使用TLS网络通信并将机密信息存储在具有透明数据加密功能的SQL Server数据库中，并具有一些复杂的哈希函数，从而为每台计算机生成唯一的密码？是。它内置在Windows中吗？没有。:)

对于GPO选项，您所指出的Microsoft文章（http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789）在其文档（下载Documentation.zip文件）中指定了以下内容：

密码从受管计算机到Active Directory的传输受Kerberos加密保护，因此无法通过嗅探网络流量来知道密码。

详细的技术规范-本地管理员帐户的密码管理-第5页

也许文章定义没有更新，所以我说你看一下文档，也许在嗅探流量的同时做一些测试，那样就可以确定。