Existe uma política de grupo que envie um novo nome de usuário e senha para todas as máquinas locais em uma rede?

8

Eu trabalho em uma pequena rede que roda no Windows Server 2003 e com máquinas executando o xp. Existe uma política de grupo que possa enviar um novo nome de usuário e senha para substituir nossas antigas contas de usuário administrador local?

killamjr
fonte
Você está usando o Active Directory?
21710 Sam

Respostas:

5

Eu uso o pspasswd da sysinternals.

http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx

Aqui está um usuário que o automatiza:

http://forum.sysinternals.com/forum_posts.asp?TID=9469

Editar:

Eu também encontrei isso exatamente o que você está pedindo:

http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505

MathewC
fonte
Ick. E os computadores que não estão ligados?
Evan Anderson
Verifique minha edição para ver como o GP faz isso.
MathewC
Isso funcionará se você tiver o cliente de Preferências de Diretiva de Grupo implementado para seus clientes ou estiver usando clientes com essa funcionalidade incorporada. Porém, se você possui o Windows 2000 ou Windows XP sem o cliente GPP instalado, não tem sorte com esse método.
Evan Anderson
Por padrão, o valor da diretiva será legível por qualquer pessoa no domínio. A senha estará nesse arquivo e, enquanto estiver criptografada, a chave usada para criptografar a senha foi publicada .
Zoredache
2

Eu uso um script de inicialização do computador para fazer isso com senhas locais de "Administrador", combinadas com uma associação ao grupo "alçapão", para que o script seja executado apenas uma vez.

  • Crie um grupo no AD - "Local Administrator Password Set". Modifique as permissões no grupo para permitir "Computadores de Domínio" em "Adicionar / Remover Auto como Membro".

  • Crie um novo GPO, "Definir senha do administrador local" e vincule-o onde quiser no diretório. Modifique a permissão no GPO para DENY "Aplicar Diretiva de Grupo" aos membros do grupo "Local Administrator Password Set". Remova os "Usuários autenticados" da permissão de estoque e adicione "Computadores de domínio" com as permissões "Ler" e "Aplicar Diretiva de Grupo".

  • Adicione um script de inicialização ao GPO com:

    Administrador do USUÁRIO NET new_password_here GRUPO NET "Conjunto de senhas do administrador local"% COMPUTERNAME% $ / ADD / DOMAIN

  • Vincule o GPO onde quer que ele seja aplicado.

(Eu realmente gosto de fazer scripts "trapdoor" como este. Eu os uso para executar o SYSOCMGR na primeira vez em que um novo PC é ingressado no domínio, etc.)

Evan Anderson
fonte
11
Mas então a senha está em texto simples ...
K. Brian Kelley
Legível por "Computadores de domínio", sim. Exclua o script depois que ele for executado em qualquer lugar que você desejar, se estiver preocupado. A senha deve existir em texto simples em algum lugar, pelo menos uma vez.
Evan Anderson
1

Senha, não; no entanto, você pode definir o nome de usuário do administrador usando o GP. Está abaixo:

  • Configurações do computador
  • Configurações do Windows
  • Configurações de segurança
  • Políticas locais
  • Opções de segurança

Encontre aquele chamado "Renomear conta de administrador" e altere-o para o que quiser.

Para redefinir a senha, simplesmente definimos todas elas na instalação para cadeias ridiculamente longas e criamos um grupo "Administrador da estação de trabalho" no Active Directory; Em seguida, usando a Diretiva de Grupo, acesse:

  • Computador -> Windows -> Segurança -> Grupos Restritos

Adicione o novo grupo e faça dele um membro de "Administradores". Desde que seus PCs ingressem no domínio e você forneça seus membros técnicos deste grupo, eles poderão fazer logon usando suas contas pessoais do Active Directory, em vez de compartilhar uma conta de administrador local (que oferece muito mais responsabilidade!).

Sua milhagem pode variar ao usar esta técnica em laptops ou máquinas que geralmente são desconectadas do AD, é claro.

Espero que ajude!

Keith Williams
fonte
Acho que o que você está pensando aqui é a alteração do nome de usuário do administrador do domínio. Eu estava procurando uma política de grupo que enviasse um administrador local e uma senha para substituir o original.
killamjr
Não, essa configuração também funciona para nomes de usuário da conta de administrador local - ela se aplica a todos os computadores afetados pela política. A menos que você queira substituir o perfil do administrador original por um modelo ..?
Keith Williams
0

Você pode anexar um script de inicialização para a conta do computador. Isso pode verificar a existência de um usuário e, se não estiver lá, criá-lo. O problema é garantir que a senha seja criptografada de alguma maneira. No entanto, parece que você deseja apenas renomear a conta de administrador. Se sim, veja a resposta de Keith. Você pode renomear via GPO e esse é o caminho a percorrer. Definir a senha é mais difícil e não pode ser feito diretamente via GPO, exceto por meio de um script de inicialização.

K. Brian Kelley
fonte