none
AD域修改本地管理员密码策略 RRS feed

  • 问题

  • 诉求:

    1、识别到加域客户端本地的“administrators”组内的本地用户;

    详细描述:加域的机器,本地“administrators”组的用户都能识别到;

    默认有:administrator,可能有用户私自新建的本地管理员,也要识别到;

    2、将所有加域的的计算机的本地“administrators”组的本地用户密码重置;

    3、避免脚本执行,本地有加密软件,脚本可能会导致系统加密,破坏系统


    • 已编辑 super.ma 2018年6月4日 0:31 详细描述
    2018年6月4日 0:21

全部回复

  • 您好,


    对于您提到的问题,我将做出下列回答:

    1、识别到加域客户端本地的“administrators”组内的本地用户;
    3
    、避免脚本执行,本地有加密软件,脚本可能会导致系统加密,破坏系统

    (由于问题的相关性,统一作出答复)

    据我所知,通过组策略无法直接完成您的需求,我们需要借助脚本完成。


    2
    、将所有加域的的计算机的本地“administrators”组的本地用户密码重置;

    我们可以通过本地管理员密码解决方案(LAPS管理本地Administrators组成员密码,但该方案只能管理一个本地Administrators组成员密码,因此无法重置所有Administrators组成员的密码。


    根据您的问题,考虑到您的主要目的是为了限制普通用户使用
    Administrators组成员进行登陆,如果您可以接受删除多余Administrators组成员,我将会向您推荐本地管理员密码解决方案(LAPS


    对于您的环境,主要包括以下两方面设置:

    1. 使用GPO中的本地用户和组首选项,移除Administrators组中的所有成员,保留Administrator 
    2. 根据指导手册,在环境中部署LAPS,通过LAPS管理本地管理员密码。

    供您参考:

    https://technet.microsoft.com/zh-cn/mt227395.aspx

    https://www.microsoft.com/en-us/download/details.aspx?id=46899

    http://blog.51cto.com/hubuxcg/1704415

    请注意:由于该网站不是由微软托管的,该链接可能会改变,恕不另行通知。 Microsoft不保证此信息的准确性。



    如果您有任何疑问,请随时与我们联系。

    Best Regards,

    William



    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2018年6月4日 6:34
    版主
  • 感谢回复

    Laps方案:有两个部分的安装、管理端计算机和被管理的客户端。

    1、使用GPO中的本地用户和组首选项,移除Administrators组中的所有成员,保留Administrator

    或者除了内置的administrator和指定的内置管理员保留?

    2、组策略本身能否重置内置的指定的本地管理员和内置的administrator密码? 

    2018年6月5日 23:37
  • 您好,

    >>或者除了内置的administrator和指定的内置管理员保留?

    这样做也是可以的,如图,我们可以勾选“删除所有成员用户”以移除所有本地管理员组的成员,然后单击对话框中的添加,将指定的用户添加到本地管理员组。

    >>组策略本身能否重置内置的指定的本地管理员和内置的administrator密码? 

    据我所知,由于MS14-025漏洞的原因,我们无法通过组策略来直接重置本地账户密码。

    更多信息,可参考下面的文章:

    https://blogs.technet.microsoft.com/srd/2014/05/13/ms14-025-an-update-for-group-policy-preferences

    https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-025

    https://support.microsoft.com/zh-cn/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

    如果您有任何疑问,请随时告诉我们。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年6月6日 1:28
    版主
  • 谢谢你的解答,非常感谢

    1、如图,我们可以勾选“删除所有成员用户”以移除所有本地管理员组的成员,然后单击对话框中的添加,将指定的用户添加到本地管理员组。

    →→》:把本地管理员组的用户删除?然后指定的本地管理员组的用户不删除?

    2、我们终端有加密软件,如果执行脚本可能会导致系统破坏掉,比较麻烦;

    2018年6月7日 10:27
  • 您好,

    >>→→》:把本地管理员组的用户删除?然后指定的本地管理员组的用户不删除?

    差不多这意思,这个操作会首先把Administrators组里的成员删除,然后再添加指定的用户到Administrators组。

    为了可以更好地理解,我建议您部署一个测试环境,测试我们提到地设置。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年6月8日 1:07
    版主
  • 您好,

     

    我正在查看这个问题的进度。

    如果我的回答对您的问题有帮助,请将它标记为答复;如果您有任何问题,请随时与我们联系。

      

    期待您的反馈。

     

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年6月11日 12:08
    版主