发布: 2008-4-10 14:49 | 作者: | 来源: MCSE认证_WinOS IT培训学院
在写这贴之前,我在网上找过很多关于这个方面的资料,看到他们都是说的差不多,但是当一个新手来弄的话就比较难实现了。非常感谢网上的朋友们对我的帮助,我写这帖子就是想要让刚接触AD的新手都能按照我写的就能马上实现这个功能,有什么不对的地方,请网友们多多指点。人比较懒,只截了2个图,做了下处理,就没有截图了
功能:在域环境中,用admin.bat文件做开机脚本,把客户端计算机的本地administrator帐号密码统一更改。
1。首先,登陆域控制器计算机,做一个admin.bat文件,内容是net user administrator password 保存。这个文件的意思是把 administrator 的密码更改成password,把admin.bat文件放在桌面上。
2。在AD上建立一个名字为更改密码的组织单位。在域控制器上双击打开Active Directory 用户和计算机,右键单击你的域名-新建-组织单位,命名为更改密码。
3。把要修改密码的计算机移动到刚才建立的更改密码这个组织单位内。在域控制器上双击打开Active Directory 用户和计算机,左键展开域目录,找到Computers这个容器,左键点击它一下,这时右边会列出你的域内所有的计算机名称。左键选定你要选的计算机,右键单击选定的计算机-移动, 选择更改密码这个组织单位,然后点确定。这样就把你选中的计算机移动到了更改密码这个组织单位内了。
4。建立客户端计算机开机脚本策略。在域控制器上双击打开Active Directory 用户和计算机,左键展开域目录,右键更改密码这个组织单位-属性-组策略-新建,把策略命名为admin,左键点编辑-点计算机配置下面的windows 设置-点脚本(启动/关机)-双击右边的启动-点添加-点浏览,把放在桌面上的admin.bat文件复制到打开的这个位置。选中admin.bat,点打开-确认-确认-关闭组策略编辑器-确认。这样,客户端计算机开机脚本策略已建立好。
5。在域控制器计算机上不要再做任何设置了,因为域策略自动生效时间他们说是15分钟-2小时,这个我不清楚,但是你想要客户端计算机马上应用这个策略,那在客户端计算机上重新启动计算机即可。有时候网络原因和服务器响应慢的原因,你可以先刷新策略,在客户端计算机上打开MS-DOS窗口,客户端操作系统是Windows 2000 的话,敲命令Secedit /refreshpolicy machine_policy /enforce再重起计算机,客户端操作系统是WindowsXP的话,敲命令 gpupdate /force再重起计算机。
注意说明:这个策略是针对计算机来的。上面第4点中的策略编辑时,一定是选的计算机配置下面的,而不是用户配置下面的,admin.bat文件就放在点击浏览时出现的位置就可以了。上面第5点中的命令,Windows 2000的命令没试过,是从网上找的资料,我当时Windows 2000系统的客户端计算机是直接重起的,Windows XP的命令是正确的,我试过。如果怕admin.bat文件的内容会被用户看到,可以在域控制器计算机上把 C:\WINDOWS\SYSVOL\sysvol这个文件夹共享里面的用户设置全部删掉,再添加 Domain computer这个进去即可,不过这个我没试过,网上朋友说是可以的。题外话:这个脚本是非常有用的,只要更改admin.bat的内容就可以实现很多不同的功能。
功能:在域环境中,用admin.bat文件做开机脚本,把客户端计算机的本地administrator帐号密码统一更改。
1。首先,登陆域控制器计算机,做一个admin.bat文件,内容是net user administrator password 保存。这个文件的意思是把 administrator 的密码更改成password,把admin.bat文件放在桌面上。
2。在AD上建立一个名字为更改密码的组织单位。在域控制器上双击打开Active Directory 用户和计算机,右键单击你的域名-新建-组织单位,命名为更改密码。
3。把要修改密码的计算机移动到刚才建立的更改密码这个组织单位内。在域控制器上双击打开Active Directory 用户和计算机,左键展开域目录,找到Computers这个容器,左键点击它一下,这时右边会列出你的域内所有的计算机名称。左键选定你要选的计算机,右键单击选定的计算机-移动, 选择更改密码这个组织单位,然后点确定。这样就把你选中的计算机移动到了更改密码这个组织单位内了。
4。建立客户端计算机开机脚本策略。在域控制器上双击打开Active Directory 用户和计算机,左键展开域目录,右键更改密码这个组织单位-属性-组策略-新建,把策略命名为admin,左键点编辑-点计算机配置下面的windows 设置-点脚本(启动/关机)-双击右边的启动-点添加-点浏览,把放在桌面上的admin.bat文件复制到打开的这个位置。选中admin.bat,点打开-确认-确认-关闭组策略编辑器-确认。这样,客户端计算机开机脚本策略已建立好。
5。在域控制器计算机上不要再做任何设置了,因为域策略自动生效时间他们说是15分钟-2小时,这个我不清楚,但是你想要客户端计算机马上应用这个策略,那在客户端计算机上重新启动计算机即可。有时候网络原因和服务器响应慢的原因,你可以先刷新策略,在客户端计算机上打开MS-DOS窗口,客户端操作系统是Windows 2000 的话,敲命令Secedit /refreshpolicy machine_policy /enforce再重起计算机,客户端操作系统是WindowsXP的话,敲命令 gpupdate /force再重起计算机。
注意说明:这个策略是针对计算机来的。上面第4点中的策略编辑时,一定是选的计算机配置下面的,而不是用户配置下面的,admin.bat文件就放在点击浏览时出现的位置就可以了。上面第5点中的命令,Windows 2000的命令没试过,是从网上找的资料,我当时Windows 2000系统的客户端计算机是直接重起的,Windows XP的命令是正确的,我试过。如果怕admin.bat文件的内容会被用户看到,可以在域控制器计算机上把 C:\WINDOWS\SYSVOL\sysvol这个文件夹共享里面的用户设置全部删掉,再添加 Domain computer这个进去即可,不过这个我没试过,网上朋友说是可以的。题外话:这个脚本是非常有用的,只要更改admin.bat的内容就可以实现很多不同的功能。
QUOTE:
这个权限。。。放的更宽了。。。今天没有事情是实验了下你的方法
好像不下行哦,进去密码还是没有变化
QUOTE:
更宽了?有什么问题?你們覺得還有用嗎?
但目前是明文的,是否有彻底的办法解决不泄露此脚本密码给域用户的方法。