Existe-t-il une stratégie de groupe qui pousserait un nouveau nom d'utilisateur et un nouveau mot de passe vers toutes les machines locales d'un réseau?


8

Je travaille sur un petit réseau qui fonctionne sur Windows Server 2003 et avec des machines exécutant XP. Existe-t-il une stratégie de groupe qui pourrait pousser un nouveau nom d'utilisateur et un nouveau mot de passe pour remplacer nos anciens comptes d'utilisateurs d'administrateur local?


Utilisez-vous Active Directory?
Sam Cogan

Réponses:


5

J'utilise pspasswd de sysinternals.

http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx

Voici un utilisateur qui l'automatise:

http://forum.sysinternals.com/forum_posts.asp?TID=9469

Éditer:

Je viens aussi de trouver ce qui est exactement ce que vous demandez:

http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505


Ick. Qu'en est-il des ordinateurs qui ne sont pas sous tension?
Evan Anderson

Vérifiez ma modification pour savoir comment le faire.
MathewC

Cela fonctionnera si vous avez déployé le client Préférences de stratégie de groupe sur vos clients, ou si vous utilisez des clients qui ont cette fonctionnalité intégrée. Si vous avez Windows 2000 ou Windows XP sans le client GPP installé, cependant, vous n'avez pas de chance avec cette méthode.
Evan Anderson

Par défaut, la valeur de la stratégie sera lisible par toute personne du domaine. Le mot de passe sera dans ce fichier, et pendant qu'il est crypté, la clé utilisée pour crypter le mot de passe a été publiée .
Zoredache

2

J'utilise un script de démarrage de l'ordinateur pour ce faire pour les mots de passe "Administrateur" locaux, combiné à une appartenance à un groupe "trappe" afin que le script ne s'exécute qu'une seule fois.

  • Créez un groupe dans AD - "Local Administrator Password Set". Modifiez les autorisations sur le groupe pour autoriser «ordinateurs du domaine» à «ajouter / supprimer soi-même en tant que membre».

  • Créez un nouvel objet de stratégie de groupe, "Définir le mot de passe de l'administrateur local" et liez-le où vous le souhaitez dans le répertoire. Modifiez l'autorisation sur le GPO pour REFUSER «Appliquer la stratégie de groupe» aux membres du groupe «Jeu ​​de mots de passe administrateur local». Supprimez les "Utilisateurs authentifiés" de l'autorisation de stock et ajoutez "Ordinateurs de domaine" avec l'autorisation "Lire" et "Appliquer la stratégie de groupe".

  • Ajoutez un script de démarrage au GPO avec:

    NET USER Administrator new_password_here NET GROUP "Local Administrator Password Set"% COMPUTERNAME% $ / ADD / DOMAIN

  • Liez le GPO où je veux qu'il s'applique.

(J'aime vraiment faire des scripts "trappe" comme celui-ci. Je les utilise pour exécuter SYSOCMGR la première fois qu'un nouveau PC est joint au domaine, etc.)


1
Mais alors le mot de passe est en clair ...
K. Brian Kelley

Lisible par les "ordinateurs de domaine", oui. Supprimez le script après son exécution partout où vous le souhaitez si vous en avez peur. Le mot de passe doit exister quelque part en texte clair, au moins une fois.
Evan Anderson

1

Mot de passe, non; vous pouvez cependant définir le nom d'utilisateur de l'administrateur à l'aide de GP. C'est sous:

  • Paramètres de l'ordinateur
  • Paramètres Windows
  • Les paramètres de sécurité
  • Politiques locales
  • Options de sécurité

Trouvez celui appelé "Renommer le compte administrateur" et changez-le en ce que vous voulez.

Pour réinitialiser le mot de passe, nous les avons simplement définis à l'installation sur des chaînes ridiculement longues, puis avons créé un groupe "Administrateur de poste de travail" dans Active Directory; puis, à l'aide de la stratégie de groupe, accédez à:

  • Ordinateur -> Windows -> Sécurité -> Groupes restreints

Ajoutez le nouveau groupe et faites-en un membre des "Administrateurs". Tant que vos PC sont joints au domaine et que vous donnez à vos techniciens l'appartenance à ce groupe, ils peuvent se connecter en utilisant leurs comptes Active Directory personnels, plutôt que de partager un compte d'administrateur local (ce qui vous donne beaucoup plus de responsabilité!).

Votre kilométrage peut varier lorsque vous utilisez cette technique sur des ordinateurs portables ou des machines qui sont souvent déconnectés d'AD, bien sûr.

J'espère que cela pourra aider!


Je pense que ce que vous pensez ici est un changement de nom d'utilisateur de l'administrateur de domaine. Je cherchais une stratégie de groupe qui pousserait un administrateur local et un mot de passe pour remplacer l'original.
killamjr

Non, ce paramètre fonctionne également pour les noms d'utilisateur de compte d'administrateur local - il s'applique à tous les ordinateurs affectés par la stratégie. Sauf si vous voulez dire remplacer le profil de l'administrateur d'origine par un modèle ..?
Keith Williams

0

Vous pouvez joindre un script de démarrage pour le compte d'ordinateur. Cela peut vérifier l'existence d'un utilisateur et s'il n'est pas là, le créer. Le hic est de s'assurer que le mot de passe est crypté d'une manière ou d'une autre. Cependant, il semble que vous souhaitiez simplement renommer le compte administrateur. Si oui, voir la réponse de Keith. Vous pouvez renommer via GPO et c'est la voie à suivre. La définition du mot de passe est plus difficile et ne peut être effectuée directement via GPO, sauf via un script de démarrage.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.