none
GPO - Локальный администратор. RRS feed

  • Вопрос

  • Здравствуйте. Задача, переименовать локального "Администратор", задать пароль.

    Политика применяется, но ничего не происходит:

    Политика на компьютер, мой компьютер в нужной OU, политика на нужной OU.

    Что интересно, гугл говорит, мол типа это запрещено стало с 2014 года..Может ошибаюсь, но вот на WS 2012 R2, политика вообще серая:

    Создать\Обновить\Заменить, только горит обновить. Но и тут у меня не сработало.

    Где я ошибаюсь или как можно решить задачу ?


    18 сентября 2018 г. 10:41

Все ответы

  • задать пароль у вас таким образом не выйдет, так как есть уязвимость которая позволяет это пароль получить.

    а переименовать вы можете через другую политику Security options/ Accounts:Rename Administrator account

    Пароль можете задать скриптом только стоит помнить что это так же не безопасно.

    В свою очередь есть laps через который вы можете получить то что требуется касательно паролей


    The opinion expressed by me is not an official position of Microsoft


    18 сентября 2018 г. 11:00
    Модератор
  • Vector BCO, верно я понимаю, сменить пароль не могу через GPO, только скриптом.

    А нового пользовака с паролем создать ? Почему-то тоже не выходит.

    18 сентября 2018 г. 11:09
  • Vector BCO, верно я понимаю, сменить пароль не могу через GPO, только скриптом.

    А нового пользовака с паролем создать ? Почему-то тоже не выходит.

    правильно понимаете что через gpo не можете установить или сменить пароль (при создании или изменении уз). Можете делать это скриптом или через laps

    The opinion expressed by me is not an official position of Microsoft

    18 сентября 2018 г. 12:07
    Модератор
  • Понял. Благодарю Вас. Скрипт я вроде гуглил, а как его засунуть в GPO думаю разберусь.
    18 сентября 2018 г. 12:09
  • Vector BCO, даже такой простой скрипт я не осилил. Помогите пожалуйста.)
    19 сентября 2018 г. 11:10
  • Vector BCO, даже такой простой скрипт я не осилил. Помогите пожалуйста.)
    чтобы помочь со скриптом, нужно хотя бы его увидеть ;)
    19 сентября 2018 г. 11:18
    Модератор
  • Vector BCO, даже такой простой скрипт я не осилил. Помогите пожалуйста.)

    Если через политику сменили имя учетки то вот вам "скрипт" https://www.makeuseof.com/tag/quick-tip-change-the-windows-user-password-via-command-line/

    The opinion expressed by me is not an official position of Microsoft

    19 сентября 2018 г. 14:37
    Модератор
  • Vector BCO, даже такой простой скрипт я не осилил. Помогите пожалуйста.)


    Если через политику сменили имя учетки то вот вам "скрипт" https://www.makeuseof.com/tag/quick-tip-change-the-windows-user-password-via-command-line/

    The opinion expressed by me is not an official position of Microsoft

    Андрей имел ввиду скрипт, который сам подключится удалённо  к компьютерам из AD и поменяет им пароль. Вот пример такого:

    $CPU=get-adcomputer -Filter * -SearchBase "OU=WORKSTATIONS,DC=DOMAIN,DC=COM"
    foreach ($CPU in $CPU) {
    $CPU.Name
    Invoke-Command -ComputerName $CPU.name -ScriptBlock {ipconfig}
    }

    Вот только он хочет этот скрипт через GPO выполнять зачем-то...

    19 сентября 2018 г. 14:44
    Модератор
  • Vector BCO, даже такой простой скрипт я не осилил. Помогите пожалуйста.)


    Если через политику сменили имя учетки то вот вам "скрипт" https://www.makeuseof.com/tag/quick-tip-change-the-windows-user-password-via-command-line/

    The opinion expressed by me is not an official position of Microsoft

    Андрей имел ввиду скрипт, который сам подключится удалённо  к компьютерам из AD и поменяет им пароль. Вот пример такого:

    $CPU=get-adcomputer -Filter * -SearchBase "OU=WORKSTATIONS,DC=DOMAIN,DC=COM"
    foreach ($CPU in $CPU) {
    $CPU.Name
    Invoke-Command -ComputerName $CPU.name -ScriptBlock {ipconfig}
    }

    Вот только он хочет этот скрипт через GPO выполнять зачем-то...

    Выполнить скрипт через invoke-command вот только это потребует дополнительной настройки сети и winrm

    The opinion expressed by me is not an official position of Microsoft

    19 сентября 2018 г. 14:55
    Модератор

  • Выполнить скрипт через invoke-command вот только это потребует дополнительной настройки сети и winrm

    The opinion expressed by me is not an official position of Microsoft

    В сети не знаю, что нужно менять, а вот winrm да, через GPO это легко.

    19 сентября 2018 г. 15:09
    Модератор
  • Выполнить скрипт через invoke-command вот только это потребует дополнительной настройки сети и winrm

    The opinion expressed by me is not an official position of Microsoft

    В сети не знаю, что нужно менять, а вот winrm да, через GPO это легко.

    На сетевом уровне могут быть зарезаны порты

    The opinion expressed by me is not an official position of Microsoft

    19 сентября 2018 г. 15:18
    Модератор
  • Rename-LocalUser -Name "Администратор" -NewName "NeAdmin"

    Почему не так?

    20 сентября 2018 г. 6:58
  • Rename-LocalUser -Name "Администратор" -NewName "NeAdmin"

    Почему не так?

    потому что дляэтого нужно знать старый логин который может сильно отличаться от ос к ос. конечно его можно найти по sid который будет одинаковый на всех ос но это лишний геморрой + емнип для упомянутого командлета нужен пош версии > 3.

    Короче говоря можно, но в домене в этом смысла нет


    The opinion expressed by me is not an official position of Microsoft


    20 сентября 2018 г. 7:39
    Модератор
  • Rename-LocalUser -Name "Администратор" -NewName "NeAdmin"

    Почему не так?

    тоже вариант. Узнать кто лок.админ тоже можно через PoSh:

    Get-LocalGroupMember -Group "Administrators" | where PrincipalSource -eq "Local"
    20 сентября 2018 г. 8:04
    Модератор
  • Rename-LocalUser -Name "Администратор" -NewName "NeAdmin"

    Почему не так?

    тоже вариант. Узнать кто лок.админ тоже можно через PoSh:

    Get-LocalGroupMember -Group "Administrators" | where PrincipalSource -eq "Local"
    локальных админов может быть больше одного и всех переименовать одинаково не получится

    The opinion expressed by me is not an official position of Microsoft

    20 сентября 2018 г. 8:17
    Модератор
  • Rename-LocalUser -Name "Администратор" -NewName "NeAdmin"

    Почему не так?

    тоже вариант. Узнать кто лок.админ тоже можно через PoSh:

    Get-LocalGroupMember -Group "Administrators" | where PrincipalSource -eq "Local"

    локальных админов может быть больше одного и всех переименовать одинаково не получится

    The opinion expressed by me is not an official position of Microsoft

    Зато их получится удалить и оствить только одного )
    20 сентября 2018 г. 8:22
    Модератор
  • Абсолютно согласен, но зачем? Под локальными учетками могут крутиться сервисы, скрипты или например задачи в планировщике, и в небольших компаниях можно относительно безболезненно "причесать" учетки, но в компаниях 1000+ человек\машин такие изменения могут быть болезненными.

    Упомянутая выше политика переименовывает встроенного админа (с PID 500) и не требует дополнительных плясок. Автору же остается после переименования скриптом сменить пароль и получить хороший результат практически без тредозатрат. Либо можно прибегнуть к рекомендациям использования LAPS и иметь уникальные пароли (секюрность и все такое) для локальных админов, при этом пароли будут храниться в одном месте.

    Опять таки все это можно сделать скриптами но попутно может возникнуть множество проблем которые нужно по возможности предвидеть и предотвратить (настройки winrm, фаерволов, роутеров, антивирусов, сценарии с нестандартными логинами, отключенными учетками, старыми версиями powershell и тд. и тп.)


    The opinion expressed by me is not an official position of Microsoft

    20 сентября 2018 г. 8:50
    Модератор
  • Под локальными учетками могут крутиться сервисы....
    ...но в компаниях 1000+ человек\машин такие изменения могут быть болезненными.

    используют gMSA.

    Опять таки все это можно сделать скриптами но попутно может возникнуть множество проблем которые нужно по возможности предвидеть и предотвратить (настройки winrm, фаерволов, роутеров, антивирусов, сценарии с нестандартными логинами, отключенными учетками, старыми версиями powershell и тд. и тп.)
    например?
    20 сентября 2018 г. 9:06
    Модератор

  • Опять таки все это можно сделать скриптами но попутно может возникнуть множество проблем которые нужно по возможности предвидеть и предотвратить (настройки winrm, фаерволов, роутеров, антивирусов, сценарии с нестандартными логинами, отключенными учетками, старыми версиями powershell и тд. и тп.)

    например?

    по первой части, да все можно строить правильно, вот только ни в одной компании не встречал я инфраструктуры без костылей...

    И как правило средние и большие компании грешат костылями огромных размеров


    The opinion expressed by me is not an official position of Microsoft

    20 сентября 2018 г. 9:50
    Модератор
  • я не понял примеров...
    Как лок.админ может повлиять на настройку winrm если всё можно сделать через GPO (а у автора домен).
    Как лок.админ повлияет на настройку роутеров???
    20 сентября 2018 г. 10:13
    Модератор
  • я не понял примеров...
    Как лок.админ может повлиять на настройку winrm если всё можно сделать через GPO (а у автора домен).
    Как лок.админ повлияет на настройку роутеров???

    По всей видимости возникло недопонимание. Я писал о том что переименовывать локального админа лучше через политики чем скриптами потому что <тут текст из скобок выше>.

    The opinion expressed by me is not an official position of Microsoft

    20 сентября 2018 г. 10:40
    Модератор