Lavoro su una piccola rete che funziona su Windows Server 2003 e con macchine che eseguono XP. Esiste un criterio di gruppo che potrebbe inviare un nuovo nome utente e password per sostituire i nostri vecchi account utente amministratore locale?
Risposte:
Uso pspasswd da sysinternals.
http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx
Ecco un utente che lo automatizza:
http://forum.sysinternals.com/forum_posts.asp?TID=9469
Modificare:
Ho anche trovato questo che è esattamente quello che stai chiedendo:
http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505
Uso uno script di avvio del computer per fare ciò per le password "Administrator" locali, combinate con un'appartenenza al gruppo "trap door" in modo che lo script venga eseguito solo una volta.
Creare un gruppo in AD - "Set password amministratore locale". Modifica le autorizzazioni sul gruppo per consentire "Computer di dominio" su "Aggiungi / Rimuovi auto come membro".
Creare un nuovo oggetto Criteri di gruppo, "Imposta password amministratore locale" e collegarlo dove si desidera nella directory. Modificare l'autorizzazione sull'oggetto Criteri di gruppo per DENY "Applica criteri di gruppo" ai membri del gruppo "Set di password dell'amministratore locale". Rimuovere gli "Utenti autenticati" dall'autorizzazione di magazzino e aggiungere "Computer di dominio" con le autorizzazioni "Leggi" e "Applica criteri di gruppo".
Aggiungi uno script di avvio all'oggetto Criteri di gruppo con:
NET USER Administrator new_password_here NET GROUP "Set password amministratore locale"% COMPUTERNAME% $ / ADD / DOMAIN
Collegare l'oggetto Criteri di gruppo dove voglio che si applichi.
(Mi piace molto fare script "trapdoor" come questo. Li uso per eseguire SYSOCMGR la prima volta che un nuovo PC viene aggiunto al dominio, ecc.)
Password, no; è possibile, tuttavia, impostare il nome utente dell'amministratore tramite GP. È sotto:
Trova quello chiamato "Rinomina account amministratore" e modificalo come preferisci.
Per reimpostare la password, li abbiamo semplicemente impostati tutti sull'installazione su stringhe ridicolmente lunghe, quindi abbiamo creato un gruppo "Workstation Admin" in Active Directory; quindi, usando Criteri di gruppo, vai a:
Aggiungi il nuovo gruppo e rendili membri di "Amministratori". Fintanto che i tuoi PC sono uniti al dominio e dai ai membri del tuo team un membro di questo gruppo, possono accedere utilizzando i loro account personali di Active Directory, anziché condividere un account di amministratore locale (che ti dà molta più responsabilità!).
Il tuo chilometraggio può variare quando usi questa tecnica su laptop o macchine che sono spesso disconnessi da AD, ovviamente.
Spero che aiuti!
È possibile allegare uno script di avvio per l'account del computer. Questo può verificare l'esistenza di un utente e, se non è presente, crearlo. Il trucco sta assicurando che la password sia crittografata in qualche modo. Tuttavia, sembra che tu voglia solo rinominare l'account amministratore. In tal caso, vedi la risposta di Keith. Puoi rinominare tramite GPO e questa è la strada da percorrere. L'impostazione della password è più difficile e non può essere eseguita direttamente tramite GPO se non tramite uno script di avvio.