Мой главный вопрос в заголовке. Эта первая часть должна пролить свет на то, почему я спрашиваю.
Я пишу сценарий PowerShell, который значительно облегчит ИТ-отделу предоставление конечным пользователям учетной записи администратора домена для ввода запросов UAC для утвержденных обновлений и установок программного обеспечения.Это не даст их учетной записи больше возможностей, и они не смогут запустить скрипт самостоятельно.
Псевдо-код:
Если временная учетная запись администратора отключена {
- Включить временную учетную запись администратора
- Сбросить пароль на случайно сгенерированный
- Показать пароль для IT Tech (IT технология отправляет UN: Temp_Admin PW: w3ocxf8IP Конечному пользователю)
- Сценарий паузы - пока Tech не увидит, что Конечный пользователь закончил
- Сбросить учетную запись на новый случайный пароль (не отображается)
- Отключить аккаунт
} еще спать 30 секунд - начать снова
У меня есть пара вопросов, прежде чем я реализую это:
Можно ли синхронизировать только учетную запись временного администратора (не все AD) между несколькими контроллерами домена? У нас есть офисы по всей территории США, поэтому я обеспокоен тем, что если учетная запись используется в штате Техас и кто-то в Нью-Йорке пытается ее использовать, все будет испорчено, если учетная запись не синхронизирована.
Предполагая, что этот скрипт часто используется, я просто спрашиваю об ошибках AD или учетной записи, включая / сбрасывая / сбрасывая / отключая пароль и такую учетную запись?
Я гораздо больше программист, чем системный администратор, поэтому я не знаю всех деталей (последствий) в AD.