ad域时间源配置_WindowsAD域通过GPO设置客户端电脑本
地管理员账号密码
0x01 介绍
在实际⽣产环境中,由于Windows AD域的限制,桌⾯对客户端电脑进⾏软件安装或其他系统配置时,均需要管理员权限,⽽⽹内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeah.local CLIENT:Windows 7 已经将客户端加⼊域
0x03 操作步骤
1. ⾸先在DC上⽤于与计算机控制台,新建⼀个计算机OU,便于管理,将刚加⼊域的计算机移动到这个OU中。
2. 在DC上打开组策略管理⼯具,新建⼀条策略,命名⾃⼰能看懂即可。
3. 并对此策略进⾏设置,依次展开 计算机配置--- 策略 --- Windows设置 ---安全设置 --- 安全选项 --- 账户:重命名系统管理员账户 将administrator⽤户重命名其他,此处修改为Local_admin。
4. 然后再回到Windows设置 --- 脚本(启动/关机),新建⼀条启动脚本。
//启动脚本内容:新建administrator⽤户,密码设置为passwd1!,启⽤此账户net user administrator passwd1! /active:yes
将脚本内容复制到txt,另存为cmd后缀或者bat后缀⽂档,然后点开启动属性,点开显⽰⽂件,出来路径,将脚本⽂件粘贴到路径中,再点
开编辑浏览到刚才路径,选中写好的开机脚本⽂件。
另外,有时候还有特殊需求,⽐如域中客户端⽤户由于⼀些特殊原因需要本地管理员权限,有这个需求的时候⼜不可能每次到跑到客户端操作电脑,因此可以使⽤受限制的组,设定,当域中某些特定⽤户需要有本机管理员权限的时候就可以直接在AD服务器上操作即可。 5. 回到⽤户和计算机管理⼯具,在Users中新建⼀个组,命名为Local-
电脑设置密码admins并将张三加⼊到此⽤户组测试。
6. 再回到组策略管理⼯具中,此处依旧挂载在这条GPO策略上,到计算机配置 --- Windows设置 --- 安全设置 --- 受限制的组  新建Administrators 组,并将默认需要添加到客户端本地管理员的⽤户与⽤户组
添加进来。
7. 确定后关闭这条GPO编辑页,回到组策略管理⼯具,到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO到刚新建的GPO,链接确定。