批量修改域客戶端administrator密碼以及更新密碼框爲灰色處理辦法！

 

組策略統一客戶端密碼。請問我如何統一修改客戶端administrator密碼？如今我是用的組策略啓動腳本辦法來修改：

計算機配置-策略-windows設置-腳本（啓動），添加一個開機啓動腳本，而後指向一個批處理文件，內容是：net user administrator password

雖然策略應用成功，可是有個問題就是批處理中內容暴露，客戶端能夠直接經過訪問sysvol共享讀取到明文的密碼，一些批處理加密有很容易解密。

那麼怎樣才能既達到統一客戶端密碼，而不至於密碼能夠被用戶讀取到呢？對於統一客戶端密碼微軟有沒有很好的建議辦法呢？

 

解決方案：若是您是windows 2008或2008R2以上的域環境，您可使用組策略中的Group Policy Preference(GPP)的方法輕鬆實現統一管理客戶端本地管理員的密碼，具體步驟是：

點擊開始：

在運行欄輸入：gpmc.msc

新建GPO並編輯

展開Computer Configuration— Preference—Control Panel Settings

右擊Local Users and Groups—New—Local User

Action選擇Update，User Name選擇Administrator（built-in），輸入密碼以及確認密碼（當密碼輸入框爲灰色時是因爲http://support.microsoft.com/kb/2962486 該微軟安全補丁致使，卸載該補丁後OK！）

點擊OK

Windows2008R2 SP1上面 須要刪除KB2928120 補丁，https://support.microsoft.com/zh-cn/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

https://support.microsoft.com/zh-cn/help/2928120/ms14-025-description-of-the-security-update-for-group-policy-preferenc

將該組策略應用到全部客戶端上

 

若是您是windows 2003的域環境，若是要用組策略在實現統一管理的話，正如按您以前的方法（即便用開機腳本）用戶有可能可以獲取腳本中的信息。因爲2003環境下沒有GPP的應用，所以沒有更好的方法保證腳本中密碼不被泄露。根據個人經驗，除了使用組策略外，您能夠編寫一個腳本程序，經過一系列命令遍歷域中的計算機帳戶並進行遠程修改計算機本地管理員密碼，將該腳本程序存放在域服務器上執行，並禁止普通用戶經過遠程桌面進入域控防止腳本泄露。

您能夠參考如下這篇文章中的腳本程序代碼：http://www.rlmueller.net/Reset_Local_Admin_Passwords.htm