在写这贴之前，我在网上找过很多关于这个方面的资料，看到他们都是说的差不多，但是当一个新手来弄的话就比较难实现了。非常感谢网上的朋友们对我的帮助，我写这帖子就是想要让刚接触AD的新手都能按照我写的就能马上实现这个功能，有什么不对的地方，请网友们多多指点。人比较懒，只截了2个图，做了下处理，就没有截图了

功能：在域环境中，用admin.bat文件做开机脚本，把客户端计算机的本地administrator帐号密码统一更改。
      1。首先，登陆域控制器计算机，做一个admin.bat文件，内容是net user administrator password 保存。这个文件的意思是把 administrator 的密码更改成password，把admin.bat文件放在桌面上。
      2。在AD上建立一个名字为更改密码的组织单位。在域控制器上双击打开Active Directory 用户和计算机，右键单击你的域名-新建-组织单位，命名为更改密码。

      3。把要修改密码的计算机移动到刚才建立的更改密码这个组织单位内。在域控制器上双击打开Active Directory 用户和计算机，左键展开域目录，找到Computers这个容器，左键点击它一下，这时右边会列出你的域内所有的计算机名称。左键选定你要选的计算机，右键单击选定的计算机-移动，

选择更改密码这个组织单位，然后点确定。这样就把你选中的计算机移动到了更改密码这个组织单位内了。
      4。建立客户端计算机开机脚本策略。在域控制器上双击打开Active Directory 用户和计算机，左键展开域目录，右键更改密码这个组织单位-属性-组策略-新建，把策略命名为admin，左键点编辑-点计算机配置下面的windows 设置-点脚本（启动/关机）-双击右边的启动-点添加-点浏览，把放在桌面上的admin.bat文件复制到打开的这个位置。选中admin.bat，点打开-确认-确认-关闭组策略编辑器-确认。这样，客户端计算机开机脚本策略已建立好。
      5。在域控制器计算机上不要再做任何设置了，因为域策略自动生效时间他们说是15分钟-2小时，这个我不清楚，但是你想要客户端计算机马上应用这个策略，那在客户端计算机上重新启动计算机即可。有时候网络原因和服务器响应慢的原因，你可以先刷新策略，在客户端计算机上打开MS-DOS窗口，客户端操作系统是Windows 2000 的话，敲命令Secedit /refreshpolicy machine_policy /enforce再重起计算机，客户端操作系统是WindowsXP的话，敲命令 gpupdate /force再重起计算机。

注意说明：这个策略是针对计算机来的。上面第4点中的策略编辑时，一定是选的计算机配置下面的，而不是用户配置下面的，admin.bat文件就放在点击浏览时出现的位置就可以了。上面第5点中的命令，Windows 2000的命令没试过，是从网上找的资料，我当时Windows 2000系统的客户端计算机是直接重起的，Windows XP的命令是正确的，我试过。如果怕admin.bat文件的内容会被用户看到，可以在域控制器计算机上把 C:\WINDOWS\SYSVOL\sysvol这个文件夹共享里面的用户设置全部删掉，再添加 Domain computer这个进去即可，不过这个我没试过,网上朋友说是可以的。题外话：这个脚本是非常有用的，只要更改admin.bat的内容就可以实现很多不同的功能。