none
如何透過AD 的GPO 建立有local administrators 群組的帳號? RRS feed

  • 問題

  • Dear All
             
             如題,小弟想利用AD的GPO執行一支.vbs檔,該script是用來建立一個帳號,並把該帳號加入administrators 群組,但client user的本機權限只有power user的權限,所以帳號建得起來,但無法加到administrators群組裡。我的想法是既然都能透過此方法改administrator的密碼了(如第二個script),建一個管理者帳號應該也行才對,但卻失敗了,以下是我的script:

    On Error Resume Next

    Function GetComputerName
    Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\." _
     &"\root\cimv2")
    Set colSystems = objWMIService.ExecQuery("SELECT * FROM Win32_ComputerSystem")
    For Each objSytem In colSystems
      GetComputerName = objSytem.Name
    Next
    End Function

    g_strComputer = GetComputerName
    g_strLogFile = g_strComputer & "-sp2-clnuplog.txt"
    Set colAccounts = GetObject("WinNT://" & g_strComputer & "")
    Set objUser = colAccounts.Create("user", "ClientAdmin")
    objUser.SetPassword "abcd"
    objUser.SetInfo
    Set objGroup = GetObject("WinNT://" & g_strComputer & "/Administrators,group")
    Set objUser = GetObject("WinNT://" & g_strComputer & "/ClientAdmin,user")
    objGroup.Add(objUser.ADsPath)

    以下是變更Local Administrator 密碼的 script,並且確定可成功
    On Error Resume Next strNewPassword = "abcd" strComputer = "." Set objUser = GetObject("WinNT://" & strComputer & "/administrator") If Not (objUser Is Nothing) Then objUser.SetPassword strNewPassword End if Set objUser = GetObject("WinNT://" & strComputer & "/administrator") If Not (objUser Is Nothing) Then objUser.SetPassword strNewPassword End if objUser.SetInfo

    以上是透過script的方式進行的,若大家有其他方法能達到同樣的效果(client pc上建立一個administrators的帳號),麻煩大家指點一下好嗎? thks!


    2008年12月1日 上午 07:29

解答

  • 在【電腦設定】下的【Windows】下的【指令碼-(啟動/關機)】中的【啟動】
    執行批次檔就可以作到你的要求了喔
    net user "test" "123456" /add /expires:never
    net localgroup "administrators" /add "test"
    2009年1月6日 上午 09:42

所有回覆

  • 你是在登入/登出指令檔做還是開機/關機指令檔?
    2008年12月2日 上午 08:44
  • 我是放在【電腦設定】下的【Windows】下的【指令碼-(啟動/關機)】中的【啟動】,兩個script都是...,再麻煩您指點,thks。
    2008年12月2日 上午 08:52
  • 在【電腦設定】下的【Windows】下的【指令碼-(啟動/關機)】中的【啟動】
    執行批次檔就可以作到你的要求了喔
    net user "test" "123456" /add /expires:never
    net localgroup "administrators" /add "test"
    2009年1月6日 上午 09:42
  • 真的行耶!
    不過這樣也有點恐怖...等於任何知道這個方法的人都能自己在任何電腦建Loacal Adminstrator的帳號了 Stick out tongue

    Anyway 謝囉! 又解決一個問題了 ^^
    2009年1月8日 上午 03:30