Как удаленно поддерживать Местный Учетные записи и группы в среде Windows?
Сделать это можно разными способами. Я бы просто использовал сценарий CMD, вызывающий утилиту командной строки NET.EXE.
Чтобы удалить пользователя:
NET USER <username> /DELETE
Чтобы создать нового пользователя и добавить его в группу администраторов:
NET USER <username> <password> /ADD
NET LOCALGROUP Administrators <username> /ADD
Имейте в виду, что ваш сценарий будет содержать пароль в виде открытого текста и соответствующим образом защищать его. Если вы назначите сценарий в качестве сценария запуска AD (что я и сделал бы), измените разрешение безопасности в сценарии, включив в него «Компьютеры домена - чтение и выполнение», и удалите разрешение «Прошедшие проверку пользователей», и вы перейдете к долгий путь к сохранению пароля в виде открытого текста.
Скрипт ничего не повредит, если вы запустите его несколько раз на одной машине. Однако, если вы хотите отслеживать, на каких машинах он работал, вы можете подумать о следующем:
В приведенном выше сценарии добавьте строку:
ГРУППА NET "Сценарий создания пользователя завершен" / ДОМЕН / ДОБАВЛЕНИЕ% COMPUTERNAME% $
Вы увидите, как группа «растет» на компьютерах-членах, когда она работает на каждой машине.
Если вы хотите, чтобы сценарий не запускался на компьютерах, где он уже запущен, добавьте разрешение к объекту групповой политики, который назначает сценарий запуска «Сценарий создания пользователя завершен - запретить применение групповой политики». Затем сценарий будет запускаться один раз на каждой машине. (На самом деле, я часто использую подобные скрипты-лазейки для различных функций системного администрирования.)
1. Способ MS: http://support.microsoft.com/kb/272530
2. МС наняла гениальный способ: http://technet.microsoft.com/en-gb/sysinternals/bb897553.aspx
3. Способ GPO: http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505
4. Машины временами выключены: Используйте SMS / SCCM, чтобы рекламировать cmd, чтобы изменить пропуск предупреждение: это оставляет проход в виде открытого текста, поэтому сценарий для удаления файла, когда он будет завершен
Я рекомендую использовать группы с ограниченным доступом для добавления пользователя в группу администраторов, а не для его написания. Примените это с помощью GPO.
Объедините его с @ MathewC # 3, и вы получите надежное решение.
Нашел Почта о том, как добавить учетные записи домена в группу локальных администраторов через групповую политику.
Нашел Почта с информацией о том, как отображать / добавлять / удалять учетные записи из локальной группы с помощью Powershell.
Пример изменения пароля учетной записи локального пользователя Powershell
$userObject = [adsi] 'WinNT://ComputerName/UserName,user'
$userObject.setpassword('NewPassword')
Дополнительная информация о провайдере WinNT / ADSI