Je travaille sur un petit réseau qui fonctionne sur Windows Server 2003 et avec des machines exécutant XP. Existe-t-il une stratégie de groupe qui pourrait pousser un nouveau nom d'utilisateur et un nouveau mot de passe pour remplacer nos anciens comptes d'utilisateurs d'administrateur local?
Réponses:
J'utilise pspasswd de sysinternals.
http://www.microsoft.com/technet/sysinternals/Utilities/PsPasswd.mspx
Voici un utilisateur qui l'automatise:
http://forum.sysinternals.com/forum_posts.asp?TID=9469
Éditer:
Je viens aussi de trouver ce qui est exactement ce que vous demandez:
http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505
J'utilise un script de démarrage de l'ordinateur pour ce faire pour les mots de passe "Administrateur" locaux, combiné à une appartenance à un groupe "trappe" afin que le script ne s'exécute qu'une seule fois.
Créez un groupe dans AD - "Local Administrator Password Set". Modifiez les autorisations sur le groupe pour autoriser «ordinateurs du domaine» à «ajouter / supprimer soi-même en tant que membre».
Créez un nouvel objet de stratégie de groupe, "Définir le mot de passe de l'administrateur local" et liez-le où vous le souhaitez dans le répertoire. Modifiez l'autorisation sur le GPO pour REFUSER «Appliquer la stratégie de groupe» aux membres du groupe «Jeu de mots de passe administrateur local». Supprimez les "Utilisateurs authentifiés" de l'autorisation de stock et ajoutez "Ordinateurs de domaine" avec l'autorisation "Lire" et "Appliquer la stratégie de groupe".
Ajoutez un script de démarrage au GPO avec:
NET USER Administrator new_password_here NET GROUP "Local Administrator Password Set"% COMPUTERNAME% $ / ADD / DOMAIN
Liez le GPO où je veux qu'il s'applique.
(J'aime vraiment faire des scripts "trappe" comme celui-ci. Je les utilise pour exécuter SYSOCMGR la première fois qu'un nouveau PC est joint au domaine, etc.)
Mot de passe, non; vous pouvez cependant définir le nom d'utilisateur de l'administrateur à l'aide de GP. C'est sous:
Trouvez celui appelé "Renommer le compte administrateur" et changez-le en ce que vous voulez.
Pour réinitialiser le mot de passe, nous les avons simplement définis à l'installation sur des chaînes ridiculement longues, puis avons créé un groupe "Administrateur de poste de travail" dans Active Directory; puis, à l'aide de la stratégie de groupe, accédez à:
Ajoutez le nouveau groupe et faites-en un membre des "Administrateurs". Tant que vos PC sont joints au domaine et que vous donnez à vos techniciens l'appartenance à ce groupe, ils peuvent se connecter en utilisant leurs comptes Active Directory personnels, plutôt que de partager un compte d'administrateur local (ce qui vous donne beaucoup plus de responsabilité!).
Votre kilométrage peut varier lorsque vous utilisez cette technique sur des ordinateurs portables ou des machines qui sont souvent déconnectés d'AD, bien sûr.
J'espère que cela pourra aider!
Vous pouvez joindre un script de démarrage pour le compte d'ordinateur. Cela peut vérifier l'existence d'un utilisateur et s'il n'est pas là, le créer. Le hic est de s'assurer que le mot de passe est crypté d'une manière ou d'une autre. Cependant, il semble que vous souhaitiez simplement renommer le compte administrateur. Si oui, voir la réponse de Keith. Vous pouvez renommer via GPO et c'est la voie à suivre. La définition du mot de passe est plus difficile et ne peut être effectuée directement via GPO, sauf via un script de démarrage.