在我们的默认Windows系统映像上,使用密码密码创建具有管理成功的用户。这用于支持目的。我需要的是一个创建此用户但不以纯文本形式显示密码的脚本(可能使用散列值?有没有办法实现这一目标?
我可以自由使用powershell或其他任何有意义的东西 - 我只需要能够在不让他们知道密码的情况下将其提供给一个人。
答案 0 :(得分:0)
你有几个选择,虽然这个问题属于ServerFault IMAO。如果计算机已加入域中,请在安装后脚本中添加包含支持帐户的组。像这样,
([adsi]"WinNT://./Administrators,group").Add("WinNT://domain/supportGroup,group")
这将在本地Administrators组中添加domain \ supportGroup,因此前者的任何成员都通过域组成员身份被授予权限。利用组成员身份来确保安全是最佳做法。
依赖域组的警告是,如果计算机无法连接域,则以supportGroup成员身份登录失败 - 除非您获得缓存凭据。
对于非域计算机,您运气不佳。可以在模糊文件中创建帐户并存储凭据。 Base64非常好用。创建用户后,覆盖并删除该文件。这将阻止表现良好的用户意外发现密码,但对恶意用户几乎不做任何事情。
另一种方法将基于,例如,使用密码算法。通过基于计算机的名称和诸如此类的东西生成一个,您不需要对密码进行硬编码。然后,只需阅读源代码即可提供密码,因此您再次对恶意用户不利。这是一个相当大的漏洞,因为任何发现该算法的人都将获得对所有系统的特权访问权限,因此如果这是继续进行的话,会非常仔细地考虑。