ConvertTo-SecureString как использовать пароль из файла

Question

Я хотел бы использовать зашифрованные учетные данные для входа в домен (без вмешательства администратора). Ниже приведен скрипт для шифрования пароля. Я разверну файл с зашифрованным паролем на машинах

$password = ConvertTo-SecureString 'P@ssw0rd' -AsPlainText -Force |Out-File "C:\Temp\Password.txt"
$secureString = Get-Content "C:\Temp\Password.txt" | ConvertTo-SecureString
$User = "MyUserName"
$File = "C:\Temp\Password.txt"
$MyCredential=New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $File | ConvertTo-SecureString)

Я хотел бы использовать переменную "$ MyCredential", которая хранит пользовательский и зашифрованный пароль в файле, а затем присоединяется к домену. Не уверен как.

Answer 1

В качестве совершенно другого подхода к вашему вопросу, учитывая, что эти машины работают под управлением Windows 10, вы можете создавать пакеты регистрации MDM, используя Конфигурация и конструктор образов Windows (WICD) , которые могут содержать инструкции для регистрации машина на домене.

Опыт пользователя может заключаться в том, что вы распространяете файл (WICD генерирует .PPKG или тип файла пакета обеспечения, который Windows 8.1 и более поздние версии могут использовать самостоятельно), либо с помощью большого пальца, либо по электронной почте, либо другим способом, и затем кто-то дважды щелкнет по файлу, и, по-видимому, он без регистрации зарегистрирует устройство в домене.

Как создать пакет регистрации домена

Запустите WICD, затем выберите «Advanced Provisioning» в нижней части списка опций. Укажите путь для сохранения файла.

Далее разверните этот путь Настройки времени выполнения \ Учетные записи \ ComputerAccount

Минимальные настройки, которые вам необходимо указать:

• DomainName - Имя домена для присоединения
• Учетная запись - учетная запись с правами на присоединение к домену
• Пароль - Пароль вышеуказанного аккаунта
• AccountOU (необязательно) - подразделение, в которое устройство должно быть помещено после регистрации

Когда это будет сделано, вы увидите следующее в столбце справа.

Наконец, экспортируйте пакет, нажав Export \ Provisioning Package . Предупреждение: пароль будет скрыт в пакете обеспечения, но очень решительный злоумышленник может восстановить PW.

Дополнительные конфигурации, которые могут вам понравиться

Если у вас есть средства, вы можете дополнительно подписать пакет, если ваши целевые машины доверяют сертификату, который вы можете выдать, для дополнительного удобства. Если вы используете этот маршрут, регистрация будет полностью беззвучной, и пользователю не нужно будет нажимать «Принять». Я подробно об этом сообщу в этом сообщении в блоге.

Если вы не подпишете пакет, пользователь должен будет нажать «ОК», как показано на этом скриншоте.

Если вы решите применить шифрование к пакету, вам также необходимо будет предоставить пароль целевым пользователям. Это обеспечивает дополнительную безопасность содержимого пакета.

Я знаю, что это отличается от того, о чем вы изначально просили, но, по моему мнению и опыту, это самый безопасный и самый профессиональный способ безопасного и надежного подхода к регистрации существующих машин в вашей среде.