Здравствуйте!

Ранее была очень легкая в обращении возможность - создавать и менять пароли на компьютерах, включенных в домен, для локальной учетной записи.
Например для единого пароля локального администратора. Для меня стало большим удивлением, когда узнал, что сей функционал подрезали из-за ограниченной безопасности. И решение, которое предложено в этом kb (http://support.microsoft.com/kb/2962486/ru-ru) - не очень радостное волокитное.
Опять-же учитывая тот факт, что в моем текущем домене как раз имеется такой пароль и текущая задача - просто его сменить.
Подскажите пожалуйста, есть-ли еще варианты?
Спасибо!

Смена пароля локального админа через ГП это был всегда БООЛЬШОЙ косяк, хорошо что исправили. Чего и вам желаю.
Как исправить по быстрому? Никак. Развёртывайте централизованно. MDT+WSUS - бюджетный вариант, платить не надо. Во всяком случае - это быстрее чем.

winbond, Вопрос не в процессе развертки.
А в том, как изменить существующий пароль. Такие потребности возникают, как по истечению определенного времени, так и по иным нуждам (увольнение сотрудников ИТ).
Заблокировать учетную запись не удастся. Много WiFi ноутбуков с авторизацией 802.1х которые не смогут даже на машину зайти по истечению срока действия пароля. И сменить его тоже не смогут.
Вообщем пока жизнь без локального админа - не видится.
Накопал уже кучу вариантов на эту тему. В основном все сводится к механизму ->
ГПО-скрипт на клиенте, который инициализирует -> запуск скрипта на веб-сервере -> который генерит пароли, сейвит файлы и т д .
Но это совсем не оперативно :)

Безопасного способа, скорее всего, нет. Поэтому многие просто блокируют локальных администраторов.
Скрипты передают пароли совсем уж открытым текстом, что ничуть не лучше, чем cpassword.
И да, локальным администраторам на 802.1х делать нечего. Для этого есть ограниченные учётные записи.

локальным администраторам на 802.1х »
их там и нет. мы наверное друг-друга не поняли.
я говорю о тех случаях, когда, например пользователь не сменил вовремя свой пароль и в последствии - его просто не пустит и одновременно с этим - и не даст сменить пароль, т.к. соединения с WiFi уже нет (опять-таки из-за истечения срока действия пароля). порой, включить LAN интерфейс необходимо воткнуть шнурок, тут опять необходимо использовать учетку локального администратора.
я пока не очень представляю, как можно обойтись без учетки локального админа...
ограниченные учётные записи »
о чем речь? не очень понял...

Нужно тему апнуть :) Проблема та же но есть вариант решения. Запускать с некоторой периодичностью с DC такого содержания скриптик:
wmic /node:%computername% useraccount where Description="Встроенная учетная запись администратора компьютера/домена" call rename Admin
wmic /node:%computername% useraccount where Description="Built-in account for administering the computer/domain" call rename Admin
wmic /node:%computername% process call create "cmd /c net user Admin P@$$w0rd"

%computername% берем из списка компов на которых старые имя пользователя/пароль.
А теперь внимание вопрос: насколько сие секурно?

Elven, любое наличие пароля в открытом виде - уже не секурным считается.
в тот момент, когда мне надо было оперативно поменять данные на машинах, т.к. увольнялся сотрудник - я ничего проще не нашел - как изменить логин админа на всех машинах.
а процесс смены пароля - описывался в некоторых источниках, по средствам веб-сервера и скриптов обращения на него. т.е. пароли генерятся на стороне веб-сервера.

AxeL_FoX, ну здесь можно упомянуть, что пока к компьютеру можно каким-либо образом получить доступ физически, то никакие пароли уже не помогут, однако меня интересовал не сам факт хранения упомянутого скрипта, а безопасность передачи исполняемого кода таким образом. Какими программными средствами придется воспользоваться пользователю для перехвата.

Может быть, попробовать методом, описанным в этой статье (http://www.grouppolicy.biz/2014/05/set-local-administrator-account-random-password/)?

P. S. И вдогонку — http://www.grouppolicy.biz/2014/05/remove-cpassword-values-active-directory/

https://www.microsoft.com/en-us/download/details.aspx?id=46899

нашел детальное про LAPS. делал по этой статье (http://shestov.info/2015/06/03/laps-ms-local-administrator-password/)