El dominio de Windows AD establece la contraseña de la cuenta de administrador local de la computadora cliente a través de GPO
Introducción a 0x01
En el entorno de producción real, debido a las limitaciones del dominio de Windows AD, se requieren derechos de administrador cuando el escritorio realiza la instalación de software u otra configuración del sistema en la computadora cliente. Hay muchos clientes en la red y diferentes computadoras cliente pueden tener contraseñas diferentes y la contraseña del administrador local a menudo se olvida, por lo que en este momento es necesario cambiar la contraseña del administrador local de los clientes en lotes.
Introducción al entorno 0x02
DC: Windows Server 2012R2 Nombre de dominio: sí.local
CLIENTE: Windows 7 ha agregado el cliente al dominio
0x03 Pasos de operación
1. Primero use la consola de la computadora en el DC para crear una nueva unidad organizativa de computadora para una fácil administración y mueva la computadora que acaba de unirse al dominio a esta unidad organizativa.
2. Abra la herramienta de administración de políticas de grupo en el DC, cree una nueva política y asígnele un nombre que pueda entender.
3. Configure la política y luego expanda Configuración del equipo. --Política--Configuración de Windows--Configuración de seguridad--Opciones de seguridad--Cuenta: Cambie el nombre de la cuenta del administrador del sistema y cambie el nombre del usuario administrador a Local_admin.
4. Luego regrese a Configuración de Windows - Script (Inicio/Apagado) y cree un nuevo script de inicio.
#Contenido del script de inicio: Significa crear un nuevo usuario administrador, establecer la contraseña en passwd1!, habilitar esta cuenta
net user administrador passwd1/active: sí
Copie el contenido del script en txt, guárdelo como un documento con sufijo cmd o sufijo bat, luego haga clic en las propiedades de inicio, haga clic en el archivo de visualización, salga de la ruta, pegue el archivo del script en la ruta y luego haga clic Al editar para buscar la ruta en este momento, seleccione y escriba el archivo de secuencia de comandos de inicio.
Además, a veces existen necesidades especiales. Por ejemplo, los usuarios del cliente en el dominio necesitan derechos de administrador local por algunas razones especiales. Cuando se cumple este requisito, es imposible ejecutar el cliente para operar. computadora cada vez. Por lo tanto, puede usar grupos y configuraciones restringidos. Cuando ciertos usuarios en el dominio necesitan tener derechos de administrador local, pueden operar directamente en el servidor AD.
5. Regrese a la herramienta de administración de usuarios y computadoras, cree un nuevo grupo en Usuarios, asígnele el nombre Local-admins y agregue Zhang San a este grupo de usuarios para realizar pruebas.
6. Vuelva a la herramienta de administración de políticas de grupo, aún montada en esta política de GPO, busque Configuración del equipo - Configuración de Windows - Configuración de seguridad - Grupos restringidos para crear un nuevo grupo de administradores y agregue usuarios de forma predeterminada. y se agregan los grupos de usuarios que deben agregarse al administrador local del cliente.
7. Después de la confirmación, cierre esta página de edición de GPO, regrese a la herramienta de administración de políticas de grupo, busque la unidad organizativa del grupo de computadoras Yes-Computers que se creó antes, haga clic derecho para vincular al GPO existente. , busque el GPO recién creado y vincule Seguro.
8. En este punto, vaya al servidor de DC para actualizar forzosamente la política de grupo.
#Forzar comando de actualización de política de grupo
gpupdate /force
9. Busque un cliente para verificar si la política es efectiva, inicie sesión como usuario administrador local Local_admin, verifique si la política es efectiva Debido a que se aplica la política de la computadora, solo puede ver si la política se aplica en la cuenta de administrador local.
#Ver el cálculo del usuario actual gpo efectivo
gpresult/r
#Si encuentra que la política no se aplica, puede ejecutar la política de actualización forzada comando varias veces
gpupdate /force
10. Puede ver que la política se ha aplicado nuevamente, inicie sesión en el cliente como Zhang San, haga clic derecho en. En la computadora, Administración de computadoras – Usuarios y grupos locales – Grupos – Administradores, puede encontrar que el grupo de usuarios que configuramos ya está en el grupo de administración local.
En este punto, se han completado todas las operaciones requeridas, es decir, a través de GPO, la cuenta de administrador local de las computadoras en el dominio se ha configurado y renombrado uniformemente a Local_admin y un nuevo Local-Admins. El grupo de usuarios se creó en AD y este grupo se agregó al cliente. En el grupo de administradores locales al final, los usuarios del dominio que necesiten usar administradores locales en el futuro tendrán derechos de administrador local siempre que agreguen el usuario a este grupo en AD