Я работаю в небольшой сети, которая работает на Windows Server 2003, и на машинах под управлением XP. Существует ли групповая политика, которая может выдвигать новое имя пользователя и пароль для замены наших старых учетных записей локальных администраторов?
Ответы:
Я использую pspasswd от sysinternals.
http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx
Вот пользователь, автоматизирующий это:
http://forum.sysinternals.com/forum_posts.asp?TID=9469
Редактировать:
Я также только что нашел это именно то, что вы просите:
http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505
Я использую сценарий запуска компьютера, чтобы сделать это для локальных паролей «Администратор», в сочетании с членством в «секретной двери», так что сценарий запускается только один раз.
Создайте группу в AD - «Локальный пароль администратора». Измените разрешения для группы, чтобы разрешить «Доменным компьютерам» «Добавить / удалить себя как участника».
Создайте новый объект групповой политики, «Установить пароль локального администратора» и свяжите его, где вы хотите в каталоге. Измените разрешение на объект групповой политики для DENY «Применить групповую политику» к членам группы «Набор паролей локального администратора». Удалите «Authenticated Users» из разрешения «Stock» и добавьте «Компьютеры домена» с разрешениями «Read» и «Apply Group Policy».
Добавьте сценарий запуска в объект групповой политики с помощью:
NET USER Administrator new_password_here NET GROUP "Пароль локального администратора установлен"% COMPUTERNAME% $ / ADD / DOMAIN
Свяжите объект групповой политики там, где я хочу его применить.
(Мне действительно нравится делать скрипты типа «люк» как этот. Я использую их для запуска SYSOCMGR при первом подключении нового компьютера к домену и т. Д.)
Пароль нет; однако вы можете установить имя пользователя администратора с помощью GP. Это под:
Найдите тот, который называется «Переименовать учетную запись администратора», и измените его на любой другой.
Для переустановки пароля мы просто установили их все при установке на смехотворно длинные строки, а затем создали группу «Администратор рабочей станции» в Active Directory; затем с помощью групповой политики перейдите к:
Добавьте новую группу и сделайте ее членом группы «Администраторы». Пока ваши компьютеры присоединены к домену, и вы предоставляете своим техническим специалистам членство в этой группе, они могут входить в систему, используя свои личные учетные записи Active Directory, а не разделять учетную запись локального администратора (что дает вам гораздо большую ответственность!).
Ваш пробег может отличаться при использовании этой техники на ноутбуках или машинах, которые часто отключаются от AD, конечно.
Надеюсь, это поможет!
Вы можете прикрепить скрипт запуска для учетной записи компьютера. Это может проверить существование пользователя и, если его там нет, создать его. Подвох в том, что пароль каким-то образом зашифрован. Однако, похоже, вы просто хотите переименовать учетную запись администратора. Если так, см. Ответ Кита. Вы можете переименовать через GPO, и это путь. Установка пароля более сложна и не может быть выполнена напрямую через GPO, кроме как через скрипт запуска.