[winbond]

Смена пароля локального админа через ГП это был всегда БООЛЬШОЙ косяк, хорошо что исправили. Чего и вам желаю.
Как исправить по быстрому? Никак. Развёртывайте централизованно. MDT+WSUS - бюджетный вариант, платить не надо. Во всяком случае - это быстрее чем.

[AxeL_FoX]

winbond, Вопрос не в процессе развертки.
А в том, как изменить существующий пароль. Такие потребности возникают, как по истечению определенного времени, так и по иным нуждам (увольнение сотрудников ИТ).
Заблокировать учетную запись не удастся. Много WiFi ноутбуков с авторизацией 802.1х которые не смогут даже на машину зайти по истечению срока действия пароля. И сменить его тоже не смогут.
Вообщем пока жизнь без локального админа - не видится.
Накопал уже кучу вариантов на эту тему. В основном все сводится к механизму ->
ГПО-скрипт на клиенте, который инициализирует -> запуск скрипта на веб-сервере -> который генерит пароли, сейвит файлы и т д .
Но это совсем не оперативно

[WindowsNT]

Безопасного способа, скорее всего, нет. Поэтому многие просто блокируют локальных администраторов.
Скрипты передают пароли совсем уж открытым текстом, что ничуть не лучше, чем cpassword.
И да, локальным администраторам на 802.1х делать нечего. Для этого есть ограниченные учётные записи.

[AxeL_FoX]

Цитата WindowsNT:

локальным администраторам на 802.1х »

их там и нет. мы наверное друг-друга не поняли.
я говорю о тех случаях, когда, например пользователь не сменил вовремя свой пароль и в последствии - его просто не пустит и одновременно с этим - и не даст сменить пароль, т.к. соединения с WiFi уже нет (опять-таки из-за истечения срока действия пароля). порой, включить LAN интерфейс необходимо воткнуть шнурок, тут опять необходимо использовать учетку локального администратора.
я пока не очень представляю, как можно обойтись без учетки локального админа...

Цитата WindowsNT:

ограниченные учётные записи »

о чем речь? не очень понял...

[Elven]

Нужно тему апнуть Проблема та же но есть вариант решения. Запускать с некоторой периодичностью с DC такого содержания скриптик:

Код:

wmic /node:%computername% useraccount where Description="Встроенная учетная запись администратора компьютера/домена" call rename Admin 
wmic /node:%computername% useraccount where Description="Built-in account for administering the computer/domain" call rename Admin 
wmic /node:%computername% process call create "cmd /c net user Admin P@$$w0rd"

%computername% берем из списка компов на которых старые имя пользователя/пароль.
А теперь внимание вопрос: насколько сие секурно?

[AxeL_FoX]

Elven, любое наличие пароля в открытом виде - уже не секурным считается.
в тот момент, когда мне надо было оперативно поменять данные на машинах, т.к. увольнялся сотрудник - я ничего проще не нашел - как изменить логин админа на всех машинах.
а процесс смены пароля - описывался в некоторых источниках, по средствам веб-сервера и скриптов обращения на него. т.е. пароли генерятся на стороне веб-сервера.

[Elven]

AxeL_FoX, ну здесь можно упомянуть, что пока к компьютеру можно каким-либо образом получить доступ физически, то никакие пароли уже не помогут, однако меня интересовал не сам факт хранения упомянутого скрипта, а безопасность передачи исполняемого кода таким образом. Какими программными средствами придется воспользоваться пользователю для перехвата.

[snark]

Может быть, попробовать методом, описанным в этой статье?

P. S. И вдогонку — http://www.grouppolicy.biz/2014/05/r...ive-directory/

[snark]

https://www.microsoft.com/en-us/down....aspx?id=46899