Долгое время у администраторов корпоративных сетей на базе Active Directory существовала головная боль по поводу встроенных административных локальных учётных записей (Built-In Administrator) и их паролей.
Первая проблема в том, что обычно есть один пароль администратора для всех пользовательских компьютеров, и его утечка или увольнение сотрудника требует смены пароля на всех компьютерах. Можно даже не говорить о том, что один пароль на несколько тысяч или даже сотен компьютеров это плохо, а разделение их на группы и установка на каждую группу иного пароля это сильное увеличение трудоёмкости в работе администраторов и создание массы неудобств. Знакома вам Excel-лька с паролями на шаре? А листочки со списками логинов и паролей? Б-р-р…
Вторая проблема заключается в том, что нужно безопасно установить пароль локального администратора во время установки ОС или сменить его после установки ОС. Всегда есть вопросы: кто, когда и как это сделает?
Помимо этого, есть множество технических проблем:
- Надо сгенерировать «криптостойкий» пароль
- Надо его где-то безопасно хранить
- Надо предоставить к нему безопасный доступ администраторам
- Надо как-то его менять периодически, по требованию на одном компьютере, группе компьютеров или на всех
- Надо сделать пароль уникальным для разных компьютеров
- …
Решение этих задач требовало от администраторов создания каких-то самостоятельных разработок, и надо сказать не тривиальных, чтобы управлять паролями учётных записей локальных администраторов.
Теперь есть официально опубликованное решение от Microsoft – Local Administrator Password Solution (LAPS).
Фактически это решение создано пару лет назад инженерами Microsoft и опубликовано как открытый проект – Local admin password management solution.
Существует его прекрасное описание в виде серии статей – Part 6: Managing Local Administrator Passwords.
Этой же проблеме и этому же решению посвящена статья – How To Automate Changing The Local Administrator Password.
Но если ранее это было частной инициативой инженеров PFE, и использование решения было «на свой страх и риск», то теперь это официальный продукт Microsoft, на который распространяется техническая поддержка. Это делает решение доступным для внедрения даже в самых консервативных организациях и компаниях. Забавно, что поддержка действует даже на Windows Server 2003!
Решение опубликовано как Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015
Прямая ссылка на загрузку (включая документацию) Local Administrator Password Solution (LAPS)