0x01 介绍
在实际生产环境中,由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已经将客户端加入域
0x03 操作步骤
1. 首先在DC上用于与计算机控制台,新建一个计算机OU,便于管理,将刚加入域的计算机移动到这个OU中。
2. 在DC上打开组策略管理工具,新建一条策略,命名自己能看懂即可
3. 并对此策略进行设置,依次展开计算机配置—策略—Windows设置—安全设置—安全选项—账户:重命名系统管理员账户将administrator用户重命名其他,此处修改为Local_admin。
4. 然后再回到Windows设置—脚本(启动/关机),新建一条启动脚本。
#启动脚本内容:意思为新建administrator用户,密码设置为passwd1!,启用此账户
net user administrator passwd1! /active:yes
将脚本内容复制到txt,另存为cmd后缀或者bat后缀文档,然后点开启动属性,点开显示文件,出来路径,将脚本文件粘贴到路径中,再点开编辑浏览到刚才路径,选中写好的开机脚本文件。
另外,有时候还有特殊需求,比如域中客户端用户由于一些特殊原因需要本地管理员权限,有这个需求的时候又不可能每次到跑到客户端操作电脑,因 此可以使用受限制的群组,设定,当域中某些特定用户需要有本机管理员权限的时候就可以直接在AD服务器上操作即可。
5. 回到用户和计算机管理工具,在Users中新建一个组,命名为Local-admins并将张三加入到此用户组测试。
6. 再回到组策略管理工具中,此处依旧挂载在这条GPO策略上,找到计算机配置 — Windows设置 — 安全设置 — 受限制的组 新建Administrators 组,并将默认需要添加到客户端本地管理员的用户与用户组添加进来。
7. 确定后关闭这条GPO编辑页,回到组策略管理工具,找到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO找到刚新建的GPO,链接确定。
8. 此时,到DC服务器中强制刷新组策略。
#强制刷新组策略命令
gpupdate /force
9. 找一台客户端验证策略是否生效,以本地管理员用户Local_admin登录,查看策略是否生效,因为应用的是计算机策略,只能在本地管理员账号下看到策略是否应用。
#查看当前用户计算生效gpo
gpresult/r
#如发现策略没应用,可多执行几次强制刷新策略命令
gpupdate /force
10. 可以看到策略已经应用,我们再切换用户,以张三登录客户端,右键点击计算机,计算机管理–本地用户和组–组–administrators,可以发现当前已经有我们设定的用户组位于本地管理组中了。
到此已经完成需求的所有操作,即通过GPO统一设置域内计算机本地管理员账户重命名为Local_admin,并在AD上新建一个Local-Admins用户组,将这个组加入到客户端本地管理员组中,后续需要用到本地管理员的域用户只要在AD上将用户加入到这个组即拥有本地管理员权限。
1674
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
