组策略统一客户端密码。请问我如何统一修改客户端administrator密码?现在我是用的组策略启动脚本办法来修改:

计算机配置-策略-windows设置-脚本(启动),添加一个开机启动脚本,然后指向一个批处理文件,内容是:net user administrator password


虽然策略应用成功,但是有个问题就是批处理中内容暴露,客户端可以直接通过访问sysvol共享读取到明文的密码,一些批处理加密有很容易解密。


那么怎样才能既达到统一客户端密码,而不至于密码可以被用户读取到呢?对于统一客户端密码微软有没有很好的建议办法呢?

 

解决方案:如果您是windows 2008或2008R2以上的域环境,您可以使用组策略中的Group Policy Preference(GPP)的方法轻松实现统一管理客户端本地管理员的密码,具体步骤是:


点击开始:

在运行栏输入:gpmc.msc

新建GPO并编辑

展开Computer Configuration— Preference—Control Panel Settings

右击Local Users and Groups—New—Local User

Action选择Update,User Name选择Administrator(built-in),输入密码以及确认密码(当密码输入框为灰色时是由于http://support.microsoft.com/kb/2962486 该微软安全补丁导致,卸载该补丁后OK!)

点击OK


Windows2008R2 SP1上面 需要删除KB2928120 补丁,https://support.microsoft.com/zh-cn/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati


https://support.microsoft.com/zh-cn/help/2928120/ms14-025-description-of-the-security-update-for-group-policy-preferenc





将该组策略应用到所有客户端上

 

如果您是windows 2003的域环境,如果要用组策略在实现统一管理的话,正如按您之前的方法(即使用开机脚本)用户有可能能够获取脚本中的信息。由于2003环境下没有GPP的应用,因此没有更好的方法保证脚本中密码不被泄露。根据我的经验,除了使用组策略外,您可以编写一个脚本程序,通过一系列命令遍历域中的计算机账户并进行远程修改计算机本地管理员密码,将该脚本程序存放在域服务器上执行,并禁止普通用户通过远程桌面进入域控防止脚本泄露。

您可以参考以下这篇文章中的脚本程序代码:http://www.rlmueller.net/Reset_Local_Admin_Passwords.htm