Altere a senha do administrador local por meio do GPO

1

Eu implantei um Active Directory em uma pequena empresa. Todo e qualquer usuário é confiável com privilégios de administrador local em seu computador com sua conta de domínio.

No entanto, caso os usuários não consigam fazer logon no computador, eu preciso ter contas de administrador local ativadas e com uma senha. O problema é que, como a alteração de senha por meio dos GPOs foi removida, não posso usá-la para alterar a senha do administrador.

Essa remoção é devido a uma falha de segurança, que é irrelevante porque os usuários são administradores locais.

O que eu preciso é uma maneira fácil de ativar e alterar a senha das contas de administrador incorporadas, via GPO, sem o problema de um script longo de duas páginas (eu sei que há um). A senha deve ser a mesma para todos e nunca mudar.

    
por Nathan.Eilisha Shiraini 08.07.2016 / 10:52

3 respostas

1

Adicione um script de logon selecione Powershell, lembre-se de que a conta de administrador permanece desativada, precisamos ativá-la na última linha do script.

$computer=$env:computername
$user = "administrator"
$Password = "password"
$user = [adsi]"WinNT://$computer/$user,user"
$user.SetPassword($Password)
net user administrator /active:yes
    
por 09.07.2016 / 13:10
7

você pode substituir isso por LAPS

    
por 08.07.2016 / 12:32
2

Se você estiver disposto a usar um script em vez de uma política de grupo, não deverá levar duas páginas. Como tenho roteiros mentindo de qualquer maneira para um propósito diferente que poderia ser alterado, eu provavelmente faria algo como:

Obtenha uma lista de computadores (provavelmente precisará de ajustes para o seu ambiente, tanto para a UO quanto para o limite):

dsquery computer ou=sbscomputers,ou=computers,ou=mybusiness,dc=mydomain,dc=local -o rdn -limit 500  > control.txt

SetLocal EnableDelayedExpansion

FOR /F %%L IN (control.txt) DO (
    set line=%%L
    echo !line!
    set line=!line:"=!
    echo !line!
    echo !line! >> process.txt
)

sort < process.txt > sorted.txt

del process.txt
move sorted.txt control.txt

Você pode então fazer algo como:

$computers = Get-Content -Path c:\path\to\control.txt
$user = "administrator"
$Password = "password"
Foreach($computer in $computers) {
    $user = [adsi]"WinNT://$computer/$user,user"
    $user.SetPassword($Password)
    $user.SetInfo()
    echo "Password reset on $computer"
}

Seria melhor ainda salvar a senha como uma string segura. Este artigo tem instruções úteis para isso. Se você não fizer isso, provavelmente desejará editar a senha do segundo script depois de executá-la.

    
por 08.07.2016 / 23:34