gpt4 book ai didi

c# - 使用 C# 将带有快照的虚拟机保留在域中

转载 作者:行者123 更新时间:2023-12-02 02:29:39 27 4
gpt4 key购买 nike

我想在域中保留带有快照的虚拟机吗?目前,如果我定期关闭计算机或恢复到以前的快照,这些计算机往往会在大约 30 天后退出域。

我正在考虑在启动时运行一个小应用程序\服务来检查计算机是否在域中,如果没有则将其添加回来。

如果可能的话,我想通过 C# 来实现,以使域管理员密码更加安全,我可以这样做吗?

我发现的唯一可能的方法是通过 PowerShell 执行此操作,但我必须手动传递域用户名\密码。

Test-ComputerSecureChannel -Repair -Credential

这种情况发生在使用 Hyper-V 和 VMware 构建的计算机上。

谢谢你的帮助

最佳答案

计算机帐户与用户帐户一样有密码,即使您从未与它们交互。在AD域中,计算 secret 码用于建立到域的安全通道。默认情况下,计算机帐户密码不会过期。但默认情况下,计算机每 30 天更新一次密码 ( more details )。

在您的例子中,您拍摄了虚拟机的快照。此后,该计算机在某个时间(< 30 天)更改了密码。恢复到快照后,您的计算机再次使用其旧密码,该密码与您 AD 中的密码不匹配。

总之,您的计算机不再连接到域,并且不信任重新创建安全通道。因此,您无法使用计算机上的任何内容来重建它(例如计算机帐户或域中的任何其他帐户)。您必须通过新的身份验证重新获得信任。

我不建议在任何地方对任何凭据进行硬编码,尤其是域管理员的凭据。您甚至可以从 C#(或任何)二进制文件中反转密码。这只是努力的问题(不一定是时间!)。

我能想到的唯一解决办法就是延长计算机帐户密码更新的期限。如果您可以确定一个合理的时间跨度,并且您可以知道快照肯定不会早于此时间,则可以通过 GPO 修改续订间隔 ( more details ):

  1. 转至计算机配置\Windows 设置\安全设置\本地策略\安全选项
  2. 您可以在此处激活设置域成员:计算机帐户密码最长期限,并将其设置为 1 到 999 天之间的值。

它必须应用于包含虚拟机的计算机帐户的位置。它不一定必须应用于您的 DC,因为计算机会自行更改密码。该更改不是由您的域( Controller )发起的。

安全考虑:间隔越大,暴力攻击的时间就越长。明智地选择。

关于c# - 使用 C# 将带有快照的虚拟机保留在域中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65249862/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com