Có chính sách nhóm nào sẽ đẩy tên người dùng và mật khẩu mới cho tất cả các máy cục bộ trên mạng không?

Tôi làm việc trên một mạng nhỏ chạy trên máy chủ windows 2003 và với các máy chạy xp. Có chính sách nhóm nào có thể đẩy tên người dùng và mật khẩu mới để thay thế tài khoản người dùng quản trị viên cục bộ cũ của chúng tôi không?

Tôi sử dụng pspasswd từ sysiternals.

http://www.microsoft.com/technet/sysiternals/Utilities/PsPasswd.mspx

Đây là một người dùng tự động hóa nó:

http://forum.sysiternals.com/forum_posts.asp?TID=9469

Biên tập:

Tôi cũng chỉ tìm thấy cái này chính xác là những gì bạn đang yêu cầu:

http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505

Tôi sử dụng tập lệnh khởi động máy tính để thực hiện việc này đối với mật khẩu "Quản trị viên" cục bộ, kết hợp với tư cách thành viên nhóm "cửa bẫy" để tập lệnh chỉ chạy một lần.

• Tạo một nhóm trong AD - "Bộ mật khẩu quản trị viên cục bộ". Sửa đổi các quyền trên nhóm để cho phép "Máy tính miền" thành "Tự thêm / xóa thành thành viên".

• Tạo GPO mới, "Đặt mật khẩu quản trị viên cục bộ" và liên kết nó bất cứ nơi nào bạn muốn trong thư mục. Sửa đổi quyền trên GPO thành DENY "Áp dụng chính sách nhóm" cho các thành viên của nhóm "Bộ mật khẩu quản trị viên cục bộ". Xóa "Người dùng được xác thực" khỏi quyền chứng khoán và thêm "Máy tính miền" với quyền "Đọc" và "Áp dụng chính sách nhóm".

• Thêm tập lệnh khởi động vào GPO bằng:

  NET USER Quản trị viên new_password_here NET GROUP "Đặt mật khẩu quản trị viên cục bộ"% COMPUTERNAME% $ / ADD / DOMAIN

• Liên kết GPO bất cứ nơi nào tôi muốn nó áp dụng.

(Tôi thực sự thích làm các kịch bản "bẫy" như thế này. Tôi sử dụng chúng để chạy SYSOCMGR lần đầu tiên khi một PC mới được kết nối với miền, v.v.)

Mật khẩu, không; tuy nhiên, bạn có thể đặt tên người dùng Quản trị viên bằng GP. Nó ở dưới:

• Cài đặt máy tính
• Cài đặt Windows
• Cài đặt hệ thống bảo vệ
• Chính sách địa phương
• Tùy chọn bảo mật

Tìm một cái gọi là "Đổi tên tài khoản quản trị viên" và thay đổi nó thành bất cứ thứ gì bạn muốn.

Để đặt lại mật khẩu, chúng tôi chỉ cần đặt tất cả chúng vào cài đặt thành các chuỗi dài một cách lố bịch, sau đó tạo nhóm "Quản trị viên máy trạm" trong Active Directory; sau đó, sử dụng Chính sách nhóm, đi đến:

• Máy tính -> Windows -> Bảo mật -> Nhóm bị hạn chế

Thêm nhóm mới và biến họ thành thành viên của "Quản trị viên". Miễn là PC của bạn được tham gia vào miền và bạn cung cấp cho thành viên công nghệ của bạn trong nhóm này, họ có thể đăng nhập bằng tài khoản Active Directory cá nhân của họ, thay vì chia sẻ tài khoản quản trị viên cục bộ (cung cấp cho bạn nhiều trách nhiệm hơn!).

Số dặm của bạn có thể thay đổi khi sử dụng kỹ thuật này trên máy tính xách tay hoặc máy thường bị ngắt kết nối với AD, tất nhiên.

Mong rằng sẽ giúp!

Bạn có thể đính kèm một tập lệnh khởi động cho tài khoản máy tính. Điều này có thể kiểm tra sự tồn tại của người dùng và nếu không có, hãy tạo nó. Việc nắm bắt là đảm bảo mật khẩu được mã hóa theo một cách nào đó. Tuy nhiên, có vẻ như bạn chỉ muốn đổi tên tài khoản quản trị viên. Nếu vậy, hãy xem phản ứng của Keith. Bạn có thể đổi tên thông qua GPO và đó là cách để đi. Đặt mật khẩu khó hơn và không thể thực hiện trực tiếp qua GPO ngoại trừ thông qua tập lệnh khởi động.