Windows管理员有一个问题——密码。具体来说,管理员密码就潜伏在那里,在不同的机器之间完全相同,随时可能被攻破。但最终有了一个价格合适的解决方案,几乎完全缓解了这一问题。感兴趣吗?就让我们一探究竟吧。
问题很简单:从Windows 2000到Windows 10,包括所有服务器版本,每台基于Windows nt的机器都有一个本地管理员帐户。这个帐户有时被称为“500”帐户,以它在Windows操作系统内部的组ID号命名,它可以完全控制它所在的机器。默认情况下,它没有任何域特权。(当然,域管理员帐户在默认情况下也可以对作为域成员的本地机器进行完全控制——但如果需要,通常可以将其范围限定为一组更有限的权限。)
一旦您将一台机器连接到一个域,本地管理员帐户不会消失。它停留在那里,在大多数情况下是启用的,除非你显式地禁用它或重命名它或进行其他一些这样的混淆方法。
但是,由于它是一个本地帐户,因此您无法获得同步密码并将它们集中在域控制器之间的好处。每个本地管理员的账户密码就放在那里。这就造成了一种令人不安的情况,由于缺乏其他资源,大多数自动化安装和部署(hello Windows Deployment Services)只是为它们接触的每个系统设置一个安全但相同的密码。
这并不理想,但您可能认为至少密码是安全的。或者,您实际上可能尝试在电子表格中跟踪多个不同的本地管理员密码。
在我的记忆中,管理这些本地管理员帐户一直是一个问题,甚至当我是北卡罗来纳州一所主要研究型大学的管理员团队的一员时也是如此。已经有十多年了,所以我不太记得我们是如何管理不同的密码的,但我记得是通过一个巨大的电子表格和一个定期的密码更改时间间隔为所有本地管理员帐户横跨部门的数百台机器完成的。