|
Смена пароля и имени локального админа на компах в домене
Решил еще немного обезопасить и сменить на всех компах логин/пароль локального админа. Клиенты на win7. Создал новую политику, область действия сделал на определенного пользователя (чтобы попробовать). Изменил параметр:
Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности -> Переименование уч. записи админ. Ввел нужное имя. Далее нашел вот такой скрипт: On Error Resume Next strComputer = "." Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") Set colItems = objWMIService.ExecQuery ("Select * from Win32_UserAccount Where LocalAccount = True") For Each objItem in colItems If Left (objItem.SID, 6) = "S-1-5-" and Right(objItem.SID, 4) = "-500" Then Set objUser = GetObject("WinNT://" & strComputer & "/" & objItem.name & ",user") objUser.SetPassword "new pass" objUser.SetInfo End If Next Вписал вместо "new pass" пароль. Поместил скрипт в расшаренную папку, и прописал путь к нему в конфигурации компьютера -> сценарии -> автозагрузка. И ничего не работает, зашел на комп по своей админской учеткой в управление учетными записями и даже имя локального админа там не изменилось. Что я не правильно сделал? |
|
попробовал в фильтре безопасности политики выбрать конкретно этот комп - не работает. Дальше создал подразделение, переместил в это подразделение этот комп и создал политику для данного подразделения, все равно ничего не работает. Ни имя, ни пароль не меняется.
|
Цитата:
|
gpupdate /force на клиенте выполнил. А gpresult /H result.html выполняется, но потом пишет "отказано в доступе". Сделал gpresult /R. Так вот там написано:
Примененные объекты групповой политики --------------------------------------- правила для проектировщиков Следующие политики GPO не были приняты, поскольку они отфильтрованы -------------------------------------------------------------------- Local Group Policy Фильтрация: Не применяется (пусто) Default Domain Policy Фильтрация: Не применяется (пусто) Политика, которую я создал для изменения имени и пароля админа отсутствует. |
ter0pefft, Вы добавили разрешения на доступ/безопасность на сам ресурс («Поместил скрипт в расшаренную папку») для компьютеров домена?
|
Цитата:
|
вот скриншот
 Я сделал специально для опыта "подразделение2", переместил туда комп, который раньше был в "computers". И для этого подразделения сделал политику. Попробовал сделать gpresult /r /scope computer, пишет отказано в доступе. Изначально было только подразделение 1 и политика для него, все нормально работает. |
можно смело поместить политику на уровне леса, область применения сделать именно тот комп , который нужен, во вкладке делегирование появится тот ПК. Зайдите в его свойства и поставьте галочку применить политику.
параметры как было сказано выше указываются для ПК, не для пользователя, т.к. локальный админ - это локальный админ, а не юзер домена. Все должно получиться, в gpresult в непринятые политики имеется ваша политика? если нет , то она вообще не действует на объект никак , либо вы сделали политику на пользователя , и скопировали в контейнер ПК. |
Политики этой нет. Про локального админа я Вас понял, но я ведь специально создал подразделение и переместил туда нужный комп, и политику делал именно для этого подразделения, вроде бы логично. Объясните пожалуйста как удобнее будет сделать для группы компьютеров, не вбивать ведь 40 компов ручками, а с подразделениями я что то запутался уже к концу дня))
|
Цитата:
Цитата:
Покажите еще скрин с закладки Параметры для политики с раскрытым списком всех параметров политики. |
Для группы? легко > создается новая группа. туда закидываются все те , кому нужно применение... Область применение ставьте эту группу новую и политика примется. Только после gpupdate \force на сервере.
И еще раз, множество подразделений не совсем рациональное решение, все можно делать фильтрами и областью применения, а так же правами на доступ к политике ( делегирование ) , разветвленная сеть подразделений и контейнеров делается только в очень сложных организациях более 100 ПК и то можно обойтись. и если в вашем gpresult нет упоминается политика совсем, значит вы не правильно указали тот пк либо не правильно применили плитику к контейнеру, т.е. политика на пользователя, а засунули туда ПК. |
спасибо всем, завтра попробую на свежую голову))
|
сделал сейчас как описано выше. Потом запустил от имени админа gpresult /r /scope computer, политика применяется, но ничего не изменяется. Кстати забыл рассказать, на компах стоит вин7 и имя локального админа - это фамилия пользователя, а не "администратор". Может в этом дело?
Попробовал еще сделать как описано здесь. В итоге в управлении учетными записями появляется встроенная учетка "администратор", с паролем который я задал в политике, но имя так и не изменилось. Получается и та учетка локального админа с именем "фамилия пользователя" осталась, и добавилась еще одна учетка с правами локального админа "администратор". Ничего не понимаю... |
Цитата:
|
При установке винды в качестве имени вводил фамилию пользователя. Кстати сейчас после того как по приведенной выше статье включилась еще одна учетка "администратор", я заново создал политику на изменение имени/пароля админа и все заработало. Чет я совсем запутался, получается в семерке встроенная учетная запись "администратор" отключена? И то что при установке я вводил фамилию пользователя, это получается просто пользователь компьютера с правами администратора, так получается?
Значит сейчас мне нужно по приведенной выше статье повключать всем администратора, потом применить политику на смену имени и пароля, и затем пройтись и поудалять пользователей с правами локального админа. Я в правильном направлении думаю? Вы уж простите за бестолковые вопросы, просто недавно этим занялся. |
да. без просмотра политики будет тяжело узнать, что там указали.
Если локальный админ был не администратор, то политика создаст пользователя "администратор" . Но все же надо посмотрет как вы прописали политику, сразу будет все понятно, я думаю. если вы создавали пользователя с именем фамилии, то пользвателя "Администратор" в системе и не будет. если вы создали политику по переименованию пользователя "Администратор" а его нет, то политика его создаст. Т.к. она разовая то эта политика уже не переименует локального админа, при создании следующей политики переименует админнистратора в любую другу, после можете удалить всех локальных админов лишних = ) , только зачем вам это надо ? если и советуют менять имя "администратор" не обязательно менять, можно просто поставить отличный пароль на локального админа и постоянно его менять. |
Цитата:
Цитата:
|
В том то и дело, что на компах нет учетной записи "Администратор", есть учетная запись с правами администратора - "фамилия пользователя". Получается выход один - сначала политикой создать "администратор", потом политикой сменить пароль и имя (ну или только пароль), и уж потом пройтись поудалять "лишних" пользователей с правами локального админа?
А есть возможность поудалять "лишних" локальных админов (которые называются "фамилия пользователя") через политики? p.s. не думал я когда винду переставлял что так далеко полезу :) Скрины со сменой пароля/имени админа прилагаю   |
Цитата:
|
Вот скрин со своего компа привожу, я к себе никакие политики еще не применял))
 |
Цитата:
Цитата:
|
ну вот теперь все более менее прояснилось) И сам бестолковый и других запутал :)
|
попробовал включить учетную запись "админстратор". Создал политику на уровне домена, настроил
Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Локальные политики->Параметры безопасности->Учетные записи: Состояние учетной записи "Администратор" - включено. Создал для эксперимента группу и поместил в нее комп. В области действия политики указал только созданную группу. Делаю gpupdate /force и на сервере и на компе. Смотрю gpresult /r /scope computer, политика применяется, но учетная запись "администратор" все равно выключена. Ничего не понимаю... |
здравствуй
здравствуйте! помоги пожалуйста! стоит windows server 2008/R2, так вот я не могу сменить пароль свой, я как бы второй админ, 1 админ уехал в питербург и не вернеться и нету с ним связи, но в учетных записях пользователя не могу сменить пароль, так как работаю удаленно, когда нажимаю ctrl+alt+delete то выходит диспетчер задач своей семерки, копался и никак не могу поменять! помогите пожалуйста! |
bekkairzhan,
Сервер - член домена или нет? |
помоги пожалуйста!!! стоит windows server 2008/R2, я второй админ, по идеи обладаю всеми правами, но свой пароль сменить не могу выводить отказано в доступе, как быть?! 1 админ вообще уехал из страны, свалил в общем, связаться с ним не могу!!!
не совсем понял про "сервер - член домена или нет".... |
bekkairzhan,
Вывод команды whoami /groups покажите. |
тоже не совсем понял! я тока начинаю учить сервак, сорри за тупость...
|
Цитата:
|
Вложений: 1
вот это пишет
|
bekkairzhan,
Открываете меню Пуск->Все программы->Администрирование->Диспетчер сервера->Конфигурация->локальные пользователи и группы->Пользователи - выбираете имя своего пользователя щелкаете по нему правой клавишей мыши ->Свойства и скрин с закладки Общие покажите. |
Вложений: 1
тут просто галочку убрать и все? спасибо огромное Telepuzik!!! помоги еще с этим : можно ли сделать так, чтобы первый админ не смог меня удалить, поменять пароль и все такое???
|
Цитата:
Цитата:
|
Цитата:
|
Цитата:
Цитата:
|
| Время: 03:43. |
Время: 03:43.
© OSzone.net 2001-