Apakah ada kebijakan grup yang akan mendorong nama pengguna dan kata sandi baru ke semua mesin lokal di jaringan?

8

Saya bekerja di jaringan kecil yang berjalan di windows server 2003, dan dengan mesin yang menjalankan xp. Apakah ada kebijakan grup yang dapat mendorong nama pengguna dan kata sandi baru untuk menggantikan akun pengguna administrator lokal lama kami?

windows-server-2003  windows-xp  group-policy  password 
killamjr
sumber
Apakah Anda menggunakan Active Directory?
Sam Cogan

Jawaban:

5

Saya menggunakan pspasswd dari sysinternals.

http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx

Ini adalah pengguna yang mengotomatiskannya:

http://forum.sysinternals.com/forum_posts.asp?TID=9469

Edit:

Saya juga baru saja menemukan ini persis seperti yang Anda minta:

http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505

MathewC
sumber
Ya Bagaimana dengan komputer yang tidak dinyalakan?
Evan Anderson
Periksa edit saya untuk cara GP melakukannya.
MathewC
Itu akan berfungsi jika Anda memiliki klien Preferensi Kebijakan Grup yang diluncurkan ke klien Anda, atau menggunakan klien yang memiliki fungsionalitas bawaan. Jika Anda memiliki Windows 2000 atau Windows XP tanpa klien GPP diinstal, Anda tidak beruntung dengan metode ini.
Evan Anderson
Secara default nilai kebijakan akan dapat dibaca oleh siapa saja di domain. Kata sandi akan ada dalam file itu, dan saat dienkripsi, kunci yang digunakan untuk mengenkripsi kata sandi telah dipublikasikan .
Zoredache
2

Saya menggunakan skrip startup komputer untuk melakukan ini untuk kata sandi "Administrator" lokal, dikombinasikan dengan keanggotaan grup "pintu jebakan" sehingga skrip hanya berjalan sekali.

  • Buat grup di AD - "Set Kata Sandi Administrator Lokal". Ubah izin pada grup untuk mengizinkan "Domain Computers" menjadi "Tambah / Hapus Diri sebagai Anggota".

  • Buat GPO baru, "Setel Kata Sandi Administrator Lokal" dan tautkan ke mana pun Anda inginkan di direktori. Ubah izin pada GPO untuk MENYANGKAL "Terapkan Kebijakan Grup" kepada anggota grup "Set Kata Sandi Administrator Lokal". Hapus "Pengguna yang Diotentikasi" dari izin stok dan tambahkan "Domain Komputer" dengan izin "Baca" dan "Terapkan Kebijakan Grup".

  • Tambahkan skrip startup ke GPO dengan:

    Administrator PENGGUNA NET, new_password_here, NET GROUP "Set Kata Sandi Administrator Lokal"% COMPUTERNAME% $ / ADD / DOMAIN

  • Tautkan GPO di mana pun saya inginkan.

(Saya sangat menikmati melakukan script "trapdoor" seperti ini. Saya menggunakannya untuk menjalankan SYSOCMGR saat pertama kali PC baru bergabung ke domain, dll.)

Evan Anderson
sumber
1
Tapi kemudian kata sandinya ada dalam plaintext ...
K. Brian Kelley
Dapat dibaca oleh "Domain Computers", ya. Hapus skrip setelah dijalankan di mana pun Anda inginkan jika Anda khawatir. Kata sandi harus ada di plaintext di suatu tempat, setidaknya sekali.
Evan Anderson
1

Kata sandi, tidak; Anda dapat, bagaimanapun, mengatur nama pengguna Administrator menggunakan GP. Di bawah:

  • Pengaturan Komputer
  • Pengaturan Windows
  • Pengaturan keamanan
  • Kebijakan Lokal
  • Pilihan Keamanan

Temukan yang disebut "Ganti nama akun administrator", dan ubah ke apa pun yang Anda inginkan.

Untuk mengatur ulang kata sandi, kami cukup mengatur semuanya pada instalasi untuk string yang sangat panjang, kemudian membuat grup "Workstation Admin" di Active Directory; lalu, menggunakan Kebijakan Grup, buka:

  • Komputer -> Windows -> Keamanan -> Grup Terbatas

Tambahkan grup baru, dan jadikan mereka anggota "Administrator". Selama PC Anda bergabung dengan domain, dan Anda memberikan keanggotaan teknisi Anda pada grup ini, mereka dapat masuk menggunakan akun Active Directory pribadi mereka, daripada membagikan akun administrator lokal (yang memberi Anda lebih banyak akuntabilitas!).

Jarak tempuh Anda mungkin berbeda ketika menggunakan teknik ini pada laptop atau mesin yang sering terputus dari AD, tentu saja.

Semoga itu bisa membantu!

Keith Williams
sumber
Saya pikir apa yang Anda pikirkan di sini adalah perubahan nama pengguna administrator domain. Saya mencari kebijakan grup yang akan mendorong administrator dan kata sandi lokal untuk mengganti yang asli.
killamjr
Tidak, pengaturan ini juga berfungsi untuk nama pengguna akun Administrator lokal - ini berlaku untuk semua komputer yang terpengaruh oleh kebijakan. Kecuali Anda bermaksud mengganti profil administrator asli dengan templat ..?
Keith Williams
0

Anda dapat melampirkan skrip startup untuk akun komputer. Ini dapat memeriksa keberadaan pengguna dan jika tidak ada, buatlah. Tujuannya adalah memastikan kata sandi dienkripsi dalam beberapa cara. Namun, sepertinya Anda hanya ingin mengganti nama akun administrator. Jika demikian, lihat respons Keith. Anda dapat mengganti nama melalui GPO dan itulah caranya. Pengaturan kata sandi lebih sulit dan tidak dapat dilakukan secara langsung melalui GPO kecuali melalui skrip startup.

K. Brian Kelley
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.