Conta local do Windows e manutenção de grupo

2

Como um remotamente mantém Local contas e grupos em um ambiente Windows?

    
por Nathan Hartley 24.06.2009 / 17:42

4 respostas

7

Você pode fazer isso com vários meios. Eu apenas usaria um script CMD chamando o utilitário de linha de comando NET.EXE.

Para remover o usuário:

NET USER <username> /DELETE

Para criar um novo usuário e adicioná-lo ao grupo Administradores:

NET USER <username> <password> /ADD
NET LOCALGROUP Administrators <username> /ADD

Esteja ciente de que seu script terá a senha em texto simples e a protegerá de acordo. Se você atribuir o script como um script de inicialização do AD (que é o que eu faria), altere a permissão de segurança no script para incluir "Computadores do domínio - Ler e executar" e remova a permissão "Usuários autenticados" e você terá um longo caminho para manter essa senha de texto simples segura.

O script não vai doer nada se você executá-lo várias vezes na mesma máquina. Se, no entanto, você quiser acompanhar quais máquinas foram executadas, considere o seguinte:

  • Crie um grupo no AD - diga "Script de criação do usuário concluído".
  • Modifique a permissão do grupo para incluir "Computadores do domínio - Gravar / adicionar self como membro"
  • No script acima, adicione a linha:

    NET GROUP "Script de criação do usuário concluído" / DOMAIN / ADD% COMPUTERNAME% $

Você verá o grupo "crescer" nos computadores membros enquanto ele é executado em cada máquina.

Se você quiser impedir que o script seja executado em computadores nos quais já está em execução, adicione uma permissão ao GPO que atribui o script de inicialização "Script de Criação de Usuário Completo - Negar Aplicar Diretiva de Grupo". Então o script será executado uma vez em cada máquina. (Eu faço muito este tipo de script "trapdoor", na verdade, para várias funções de administração do sistema.)

    
por 24.06.2009 / 17:57
3

1. A maneira MS: link

2. O MS contratou uma maneira genial: link

3. A maneira do GPO: link

4. As máquinas estão desligadas de tempos em tempos: Use o SMS / SCCM para anunciar um cmd para alterar o aviso de passagem: isso deixa o passe em texto não criptografado, então script para remover o arquivo quando estiver pronto

    
por 24.06.2009 / 20:16
1

Recomendo o uso de grupos restritos para adicionar o usuário ao grupo Administradores, em vez de criá-lo. Aplique isso usando um GPO.

Combine com o # 3 do MathewC e você deve ter uma solução robusta.

    
por 02.02.2010 / 23:40
0

Encontrado uma postagem sobre como adicionar Contas de Domínio a um grupo de Administradores Locais via Política de Grupo.

Encontrado uma postagem com informações sobre como listar / adicionar / remover contas de um grupo local com o Powershell.

Exemplo de senha da conta de usuário local do Powershell Change

$userObject = [adsi] 'WinNT://ComputerName/UserName,user'
$userObject.setpassword('NewPassword')

Mais informações sobre o provedor WinNT / ADSI

por 02.02.2010 / 23:22