Я работаю в небольшой сети, которая работает на сервере Windows Server 2003, и на машинах, работающих под управлением xp. Существует ли групповая политика, которая может подтолкнуть новое имя пользователя и пароль к замене наших старых учетных записей локальных администраторов?
Я использую pspasswd от sysinternals.
http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx
Вот пользователь, автоматизирующий это:
http://forum.sysinternals.com/forum_posts.asp?TID=9469
Редактировать:
Я также обнаружил, что это именно то, о чем вы просите:
http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505
Я использую сценарий запуска компьютера, чтобы сделать это для паролей локального «администратора», в сочетании с членством в группе «лазейки», так что сценарий запускается только один раз.
Создайте группу в AD - «Набор паролей локального администратора». Измените разрешения для группы, чтобы разрешить «Компьютеры домена» «Добавить / удалить себя как участника».
Создайте новый объект групповой политики «Установить пароль локального администратора» и свяжите его в любом месте каталога. Измените разрешение на GPO, чтобы ОТКАЗАТЬ «применять групповую политику» к членам группы «Набор паролей локального администратора». Удалите «Прошедшие проверку» из стандартного разрешения и добавьте «Компьютеры домена» с разрешениями «Чтение» и «Применить групповую политику».
Добавьте сценарий запуска в GPO с помощью:
NET USER Administrator new_password_here NET GROUP "Пароль локального администратора"% COMPUTERNAME% $ / ADD / DOMAIN
Свяжите объект групповой политики везде, где я хочу его применить.
(Мне очень нравится делать такие скрипты "лазейки". Я использую их для запуска SYSOCMGR при первом присоединении нового ПК к домену и т. Д.)
Пароль, нет; однако вы можете установить имя пользователя администратора с помощью GP. Это под:
Найдите тот, который называется «Переименовать учетную запись администратора», и измените его на все, что захотите.
Для переустановки пароля мы просто установили их все при установке на смехотворно длинные строки, а затем создали группу «Администратор рабочей станции» в Active Directory; затем, используя групповую политику, перейдите по адресу:
Добавьте новую группу и сделайте их членами «Администраторы». Пока ваши ПК присоединены к домену и вы предоставляете своим техническим специалистам членство в этой группе, они могут входить в систему, используя свои личные учетные записи Active Directory, а не совместно использовать учетную запись локального администратора (что дает вам гораздо больше подотчетности!).
Ваш опыт может отличаться при использовании этого метода на ноутбуках или машинах, которые, конечно, часто отключаются от AD.
Надеюсь, это поможет!
Вы можете прикрепить сценарий запуска для учетной записи компьютера. Это может проверить существование пользователя и, если его нет, создать его. Уловка заключается в том, что пароль каким-то образом зашифрован. Однако похоже, что вы просто хотите переименовать учетную запись администратора. Если да, см. Ответ Кита. Вы можете переименовать через GPO, и это правильный путь. Установить пароль сложнее, и его нельзя сделать напрямую через GPO, кроме как с помощью сценария запуска.