Используем Group Policy Preferences для смены пароля локального администратора

C появлением Windows Server 2008 для некоторых задач, которые раньше приходилось решать используя только скрипты, появились альтернативные пути решения. Для задания пароля локальному администратору можно использовать несколько способов, однако, наиболее легкий из них состоит в использовании Group Policy Preferences.

Но перед тем как начать, стоит предупредить о недостатке такого способа. Поскольку Group Policy Preferences является частью групповой политики, для ее хранения используются XML, лежащий в папке SAYSVOL и доступный для всех авторизированных пользователей домена. Конкретное расположение зависит от GUID политики, но общий шаблон пути будет:

\\<servername>\SYSVOL\<fqdn>\Polices\<guid>\Machine\Preference\Groups

где:

    servername — имя сервера на котором создается объект групповой политики;

Недостаток использования для смены пароля локального администратора Group Policy Preferences в том, что пароли хранятся в зашифрованном с помощью AES (Advanced Encryption Standard) виде с использованием симметричного 256-битного ключа, т.е. ключ для шифрования и дешифрования совпадает. Поэтому при наличии ключа шифрования любой авторизированный пользователь домена сможет расшифровать пароль.

Теперь о том как централизовано сменить пароль локального администратора на компьютерах под управлением Windows XP SP2 и выше, входящих в домен. Открываем консоль управления групповой политикой (Group Policy Management Console) (через Server Manager, Пуск -> Администрирование или Win+R -> gpedit.msc) и редактируем выбранную политику. Поскольку политика изменяет настройки компьютера, то имеет смысл ее привязать к OU, где у вас хранятся аккаунты комьютеров. В Group Policy Management Editor отправляемся в

Computer Configuration -> Preferences -> Control Panel Settings -> Local User and Groups.

Щелкаем ПКМ или через меню Action выбираем New -> Local User. Перед вами появится окно New Local User Properties в нем и будем настраивать пароль и другие опции.


    Action: оставляем Update,
    User name: выбираем Administrator (built-in) (это выберет локального администратора, даже если он был переименован),
    Password и Confirm password – вбиваем желаемый пароль,Из галок выделяем Password never expires и Account never expires.

После добавления пользователя остается подождать, когда применится обновленная групповая политика (значение по-умолчанию 90 минут), впрочем можно форсировать события используя комманду gpupdate /force. Как только пароли локальных администраторов на всех выбранных компьютерах изменены, групповую политику в целях безопасности рекомендуется удалить.

Реклама

4 responses to “Используем Group Policy Preferences для смены пароля локального администратора

  1. Попробывал, всё работает на windows 7, а на xp хоть убей не применяется ! есть какие то, другие варианты если смешанный парк ? и как лучше поступить ?

    • Что бы Group Policy Preferences работали на Windows XP необходимо установить Group Policy Preference Client Side Extensions for Windows XP, распространяемое компанией Microsoft в виде обновления (KB943729).

  2. Пытаюсь сменить пароль на компьютерах домена таким образом пароль, ничего не выходит!
    Куда можно посмотреть в чём ошибка ?

    • Либо на контроллере домена средствами моделирования применения групповой политики смотреть применяется ли созданная политика к нужному компьютеру.. Либо на компьютере к которому применяется GPO изучать выдачу команды gpresult.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s