Lokales Adminkennwort & Richtlinien

[jobe 10]

Hallo an alle,

 

wir haben ca. 1000 User PC's bei denen wir das Lokale Admin Kennwort in regelmässigen abständen mit dem Tool http://www.danish-company.com/dcpc auf die PC's schiessen. Kann man das nicht irgendwie via Policy setzen?

 

Und nochwas:

bishher wurde auf Passwortrichtlinien nicht so viel Wert gelegt. Daher sind ca. die hälfte der User mit dem gleichen PW unterwegs, das bei der Installation standardmässig vergeben wird. Das will ich nun via policy ändern, 8 Zeichen 90 Tage etc.... leider haben die meisten den Haken "Kennwort läuft nie ab" gesetzt. Da greift dann ja die Policy nicht.. gibts mittel und wege den Haken rauszunehmen ohne jeden User anfassen zu müssen?

 

danke im Voraus

 

gruss

jobe

[macabros 10]

hi,

 

1. Denke nicht das es über die GPOs zu realisieren ist da diese kein Zugriff auf die lokale SAM haben. Kann ich dir aber nicht genau sagen da ich das selber noch nicht gemacht habe.

 

2. Zum User Verzeichnis wechseln. Hoffe du hast sie in einer OU angelegt. Alle selektieren, rechts klick, eigenschaften, accounts, accounts optionen --> User kann passwort nicht ändern anklicken ! Wenn du beide Häckchen setzt aktivierst du es. Wenn du ein Häckchen setzt deaktivierst du es bei allen selektierten Usern !!

 

Hoffe das hilft dir weiter

 

gruß

 

MACABROS

[jobe 10]

danke erst mal macabros,

 

aber zu 2.

wenn ich mehrere User selektiere, hab ich mit rechts klick keine eigenschaften ;-/ ich musste in der mmc immer erst auf "ansicht" und dann auf "vorgang" gehen um die eigenschaften zu bekommen...

was solls es hat ja geklappt ;-)

 

thx

jobe

[grizzly999 11]

Für solche Aktionen empfehle ich den Einsatz von hyena. Das Tool kann auch für hunderte Benutzer gleichzeitig Eigenschaften ändern. Bei http://www.somarsoft.com gibts eine 30 Tage Demoversion zum Download.

 

grizzly999

[jobe 10]

hey danke!!!

 

mit hyena kann ich sogar punkt 1 lösen ;-)

mehrere pc's auswählen

rechte maustaste -> weitere optionen -> konto kennwort festlegen.... konto eintragen, neues kennwort und hinterher bekommst ein log mit erfolg und fehlerbericht...

 

jobe

[burning snow 10]

Hallo,

 

Gibt es denn keine Möglichkeit das lokale Administrator Kennwort als Domänen-Administrator über ein Skript zu ändern?

 

Wäre ja hilfreicher und kostengünstiger als Software zu kaufen. Gibt es mittlerweile diese Option?

 

Vielen Dank im Voraus.

[grizzly999 11]

Eine Möglichkeit wäre policymaker, ist aber BezahlSoftware.

Ansonsten könte man in einer AD-Domäne das über ein Startskript für Computer lösen. Auf die entsprechende Policy sollten dann neben den Domänen-Admins nur die Domänencomputer-Gruppe den Zugriff auf die Policy und den zugehörigen Policy-Ordner im Sysvol erhalten, damit das Kennwort für die User nicht zugänglich ist.

Hier Script-Samples: http://www.microsoft.com/technet/scriptcenter/resources/qanda/oct04/hey1015.mspx

 

Oder mit einem zentralen Script, das manuell als Domänen-Admin aufgerufen wird. Die Eingabe erfolgt über eine Zeilenbasierte Liste mit den Computernamen, die Rechner müssen natürlich online sein. Das könnte so aussehen:

 

'Binds to the local Administrator account on the computer MyComputer,

'and changes the password for the account to testpassword

 

Set objFSO = CreateObject("Scripting.FileSystemObject")

Set objTextFile = objFSO.OpenTextFile (".\liste.txt")

 

' Die Datei wird in einer Schleife ausgelesen und verarbeitet

Do Until objTextFile.AtEndOfStream

 

' Der Variablen strComputer wird jeweils ein Linieninhalt zugewiesen

strComputer = objTextFile.Readline

 

 

Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")

objUser.SetPassword "A1234567>"

objUser.SetInfo

 

Loop

 

grizzly999

[burning snow 10]

Vielen Dank für deine Antwort. Das mit dem VBS Skript habe ich gesucht.