|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Смена пароля и имени локального админа на компах в домене |
|
2008 R2 - Смена пароля и имени локального админа на компах в домене
|
Пользователь Сообщения: 50 |
Профиль | Отправить PM | Цитировать Решил еще немного обезопасить и сменить на всех компах логин/пароль локального админа. Клиенты на win7. Создал новую политику, область действия сделал на определенного пользователя (чтобы попробовать). Изменил параметр:
Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности -> Переименование уч. записи админ. Ввел нужное имя. Далее нашел вот такой скрипт: On Error Resume Next strComputer = "." Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") Set colItems = objWMIService.ExecQuery ("Select * from Win32_UserAccount Where LocalAccount = True") For Each objItem in colItems If Left (objItem.SID, 6) = "S-1-5-" and Right(objItem.SID, 4) = "-500" Then Set objUser = GetObject("WinNT://" & strComputer & "/" & objItem.name & ",user") objUser.SetPassword "new pass" objUser.SetInfo End If Next Вписал вместо "new pass" пароль. Поместил скрипт в расшаренную папку, и прописал путь к нему в конфигурации компьютера -> сценарии -> автозагрузка. И ничего не работает, зашел на комп по своей админской учеткой в управление учетными записями и даже имя локального админа там не изменилось. Что я не правильно сделал? |
|
Отправлено: 10:27, 13-09-2011 |
Ветеран Сообщения: 3722
|
Профиль | Отправить PM | Цитировать Цитата ter0pefft:
Цитата ter0pefft:
Покажите еще скрин с закладки Параметры для политики с раскрытым списком всех параметров политики. |
||
------- Отправлено: 17:29, 13-09-2011 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Для группы? легко > создается новая группа. туда закидываются все те , кому нужно применение... Область применение ставьте эту группу новую и политика примется. Только после gpupdate \force на сервере.
И еще раз, множество подразделений не совсем рациональное решение, все можно делать фильтрами и областью применения, а так же правами на доступ к политике ( делегирование ) , разветвленная сеть подразделений и контейнеров делается только в очень сложных организациях более 100 ПК и то можно обойтись. и если в вашем gpresult нет упоминается политика совсем, значит вы не правильно указали тот пк либо не правильно применили плитику к контейнеру, т.е. политика на пользователя, а засунули туда ПК. |
Отправлено: 17:33, 13-09-2011 | #12 |
Пользователь Сообщения: 50
|
Профиль | Отправить PM | Цитировать спасибо всем, завтра попробую на свежую голову))
|
Отправлено: 17:53, 13-09-2011 | #13 |
Пользователь Сообщения: 50
|
Профиль | Отправить PM | Цитировать сделал сейчас как описано выше. Потом запустил от имени админа gpresult /r /scope computer, политика применяется, но ничего не изменяется. Кстати забыл рассказать, на компах стоит вин7 и имя локального админа - это фамилия пользователя, а не "администратор". Может в этом дело?
Попробовал еще сделать как описано здесь. В итоге в управлении учетными записями появляется встроенная учетка "администратор", с паролем который я задал в политике, но имя так и не изменилось. Получается и та учетка локального админа с именем "фамилия пользователя" осталась, и добавилась еще одна учетка с правами локального админа "администратор". Ничего не понимаю... |
Отправлено: 09:20, 14-09-2011 | #14 |
Ветеран Сообщения: 3722
|
Профиль | Отправить PM | Цитировать Цитата ter0pefft:
|
|
------- Отправлено: 09:30, 14-09-2011 | #15 |
Пользователь Сообщения: 50
|
Профиль | Отправить PM | Цитировать При установке винды в качестве имени вводил фамилию пользователя. Кстати сейчас после того как по приведенной выше статье включилась еще одна учетка "администратор", я заново создал политику на изменение имени/пароля админа и все заработало. Чет я совсем запутался, получается в семерке встроенная учетная запись "администратор" отключена? И то что при установке я вводил фамилию пользователя, это получается просто пользователь компьютера с правами администратора, так получается?
Значит сейчас мне нужно по приведенной выше статье повключать всем администратора, потом применить политику на смену имени и пароля, и затем пройтись и поудалять пользователей с правами локального админа. Я в правильном направлении думаю? Вы уж простите за бестолковые вопросы, просто недавно этим занялся. |
Отправлено: 10:10, 14-09-2011 | #16 |
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать да. без просмотра политики будет тяжело узнать, что там указали.
Если локальный админ был не администратор, то политика создаст пользователя "администратор" . Но все же надо посмотрет как вы прописали политику, сразу будет все понятно, я думаю. если вы создавали пользователя с именем фамилии, то пользвателя "Администратор" в системе и не будет. если вы создали политику по переименованию пользователя "Администратор" а его нет, то политика его создаст. Т.к. она разовая то эта политика уже не переименует локального админа, при создании следующей политики переименует админнистратора в любую другу, после можете удалить всех локальных админов лишних = ) , только зачем вам это надо ? если и советуют менять имя "администратор" не обязательно менять, можно просто поставить отличный пароль на локального админа и постоянно его менять. |
Отправлено: 10:12, 14-09-2011 | #17 |
Ветеран Сообщения: 3722
|
Профиль | Отправить PM | Цитировать Цитата ter0pefft:
Цитата ter0pefft:
|
||
------- Отправлено: 10:34, 14-09-2011 | #18 |
Пользователь Сообщения: 50
|
Профиль | Отправить PM | Цитировать В том то и дело, что на компах нет учетной записи "Администратор", есть учетная запись с правами администратора - "фамилия пользователя". Получается выход один - сначала политикой создать "администратор", потом политикой сменить пароль и имя (ну или только пароль), и уж потом пройтись поудалять "лишних" пользователей с правами локального админа?
А есть возможность поудалять "лишних" локальных админов (которые называются "фамилия пользователя") через политики? p.s. не думал я когда винду переставлял что так далеко полезу Скрины со сменой пароля/имени админа прилагаю |
Отправлено: 10:35, 14-09-2011 | #19 |
Ветеран Сообщения: 3722
|
Профиль | Отправить PM | Цитировать Цитата ter0pefft:
|
|
------- Отправлено: 10:42, 14-09-2011 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Смена адресов DNS на всех компах в домене. | zippi | Microsoft Windows NT/2000/2003 | 12 | 28-01-2016 08:29 | |
Глобальная смена пароля локального администратора в домене | Ronald | Microsoft Windows NT/2000/2003 | 7 | 31-10-2011 14:42 | |
VBS/WSH/JS - скрипт смены пароля локального админа | sp372 | Скриптовые языки администрирования Windows | 1 | 12-09-2011 17:07 | |
CMD/BAT - требуется запуск батника из-под доменного админа для создания локального админа | sharky lions | Скриптовые языки администрирования Windows | 2 | 21-04-2011 11:58 | |
CMD/BAT - Смена пароля админа на локальных станциях с котнроллера домена | Serg2010 | Скриптовые языки администрирования Windows | 2 | 27-07-2010 00:04 |
|