Ich arbeite in einem kleinen Netzwerk, das unter Windows Server 2003 ausgeführt wird, und mit Computern, auf denen XP ausgeführt wird. Gibt es eine Gruppenrichtlinie, die einen neuen Benutzernamen und ein neues Kennwort verwenden könnte, um unsere alten lokalen Administratorkonten zu ersetzen?
Antworten:
Ich benutze pspasswd von sysinternals.
http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx
Hier ist ein Benutzer, der es automatisiert:
http://forum.sysinternals.com/forum_posts.asp?TID=9469
Bearbeiten:
Ich habe auch gerade das gefunden, wonach Sie genau fragen:
http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505
Ich verwende ein Computer-Startskript, um dies für lokale "Administrator" -Kennwörter zu tun, kombiniert mit einer "Trap Door" -Gruppenmitgliedschaft, sodass das Skript nur einmal ausgeführt wird.
Erstellen Sie eine Gruppe im AD - "Local Administrator Password Set". Ändern Sie die Berechtigungen für die Gruppe, damit "Domänencomputer" "Selbst als Mitglied hinzufügen / entfernen" können.
Erstellen Sie ein neues Gruppenrichtlinienobjekt "Lokales Administratorkennwort festlegen" und verknüpfen Sie es an einer beliebigen Stelle im Verzeichnis. Ändern Sie die Berechtigung im Gruppenrichtlinienobjekt so, dass "Gruppenrichtlinien anwenden" auf Mitglieder der Gruppe "Kennwortsatz für lokale Administratoren" verweigert wird. Entfernen Sie die "Authentifizierten Benutzer" aus der Lagerberechtigung und fügen Sie "Domänencomputer" mit der Berechtigung "Lesen" und "Gruppenrichtlinie anwenden" hinzu.
Fügen Sie dem Gruppenrichtlinienobjekt ein Startskript hinzu mit:
NET USER Administrator new_password_here NET GROUP "Local Administrator Password Set"% COMPUTERNAME% $ / ADD / DOMAIN
Verknüpfen Sie das Gruppenrichtlinienobjekt, wo immer es angewendet werden soll.
(Ich mache wirklich gerne "Trapdoor" -Skripte wie dieses. Ich verwende sie, um SYSOCMGR auszuführen, wenn zum ersten Mal ein neuer PC der Domäne hinzugefügt wird usw.)
Passwort, nein; Sie können den Administrator-Benutzernamen jedoch mit GP festlegen. Es ist unter:
Suchen Sie das Konto mit dem Namen "Administratorkonto umbenennen" und ändern Sie es nach Ihren Wünschen.
Um das Kennwort zurückzusetzen, haben wir sie bei der Installation einfach auf lächerlich lange Zeichenfolgen festgelegt und dann in Active Directory eine Gruppe "Workstation Admin" erstellt. Gehen Sie dann mithilfe der Gruppenrichtlinie zu:
Fügen Sie die neue Gruppe hinzu und machen Sie sie zu einem Mitglied von "Administratoren". Solange Ihre PCs der Domäne beigetreten sind und Sie Ihren Technikern die Mitgliedschaft in dieser Gruppe zuweisen, können sie sich mit ihren persönlichen Active Directory-Konten anmelden, anstatt ein lokales Administratorkonto freizugeben (was Ihnen viel mehr Rechenschaftspflicht gibt!).
Ihr Kilometerstand kann variieren, wenn Sie diese Technik auf Laptops oder Computern verwenden, die häufig häufig von AD getrennt sind.
Ich hoffe, das hilft!
Sie können ein Startskript für das Computerkonto anhängen. Dies kann die Existenz eines Benutzers überprüfen und, falls dieser nicht vorhanden ist, erstellen. Der Haken ist, dass das Passwort auf irgendeine Weise verschlüsselt ist. Es hört sich jedoch so an, als ob Sie nur das Administratorkonto umbenennen möchten. Wenn ja, siehe Keith's Antwort. Sie können über das Gruppenrichtlinienobjekt umbenennen, und das ist der richtige Weg. Das Festlegen des Kennworts ist schwieriger und kann nur über ein Startskript direkt über das Gruppenrichtlinienobjekt erfolgen.