ConvertTo-SecureString如何使用文件中的密码

Question

我想使用加密的凭据登录到域（无管理员干扰）i在以下脚本中找到了用于加密密码的脚本。我将使用加密密码的文件部署到计算机上

$password = ConvertTo-SecureString 'P@ssw0rd' -AsPlainText -Force |Out-File "C:\Temp\Password.txt"
$secureString = Get-Content "C:\Temp\Password.txt" | ConvertTo-SecureString
$User = "MyUserName"
$File = "C:\Temp\Password.txt"
$MyCredential=New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $File | ConvertTo-SecureString)

我想使用变量“ $ MyCredential”将用户和加密的密码存储在文件中，然后加入域。不确定如何。

Answer 1

作为一种完全不同的方法，假设这些计算机运行Windows 10，则可以使用Windows Image Configuration and Designer (WICD)创建MDM注册软件包，其中可以包含在域中注册计算机的说明。

用户体验将是通过拇指驱动器或电子邮件或其他方法分发文件（WICD生成.PPKG或预配包文件类型，Windows 8.1及更高版本可以本机使用）。 ，然后有人双击该文件，它将似乎从那里将设备注册到域中。

如何创建域注册包

启动WICD，然后从选项列表底部选择“高级配置”。提供保存文件的路径。

下一步，展开到此路径运行时设置\帐户\计算机帐户

您需要提供的最低设置为：

• DomainName-要加入的域的名称
• 帐户-具有域加入权限的帐户
• 密码-上述帐户的密码
• AccountOU（可选）-注册后设备应放入的OU

完成此操作后，您将在右侧列中看到以下内容。

最后，通过单击导出\配置包来导出包。请注意，密码将在预配包中混淆，但是非常确定的攻击者可以恢复PW。

您可能喜欢的可选配置

如果您有足够的能力，可以选择对软件包签名，如果目标计算机信任可以颁发的证书，则可以更加方便。如果您使用此路线，则注册将完全静音，用户将不必单击“接受”。 I provide details on doing that in this blog post.

如果您不对软件包进行签名，则用户必须单击“确定”，如此屏幕截图所示。

如果您选择对包应用加密，则还需要向目标用户提供共享密码。这样可以为包的内容增加额外的安全性。

我知道这与您最初要求的有所不同，但是根据我的经验和经验，这是最安全，最专业的方法，可以将现有计算机安全可靠地注册到您的环境中。