Skip to content

Используем Group Policy Preferences для смены пароля локального администратора

C появлением Windows Server 2008 для некоторых задач, которые раньше приходилось решать используя только скрипты, появились альтернативные пути решения. Для задания пароля локальному администратору можно использовать несколько способов, однако, наиболее легкий из них состоит в использовании Group Policy Preferences.

Но перед тем как начать, стоит предупредить о недостатке такого способа. Поскольку Group Policy Preferences является частью групповой политики, для ее хранения используются XML, лежащий в папке SAYSVOL и доступный для всех авторизированных пользователей домена. Конкретное расположение зависит от GUID политики, но общий шаблон пути будет:

\<servername>\SYSVOL\<fqdn>\Polices\<guid>\Machine\Preference\Groups

где:

  • servername - имя сервера на котором создается объект групповой политики
  • FQDN - fully qualified domain name или проще говоря адрес сервера (например, domain.local)
  • GUID - globally unique identifier, номер уникально определяющий групповую политику

Недостаток использования для смены пароля локального администратора Group Policy Preferences в том, что пароли хранятся в зашифрованном с помощью AES_ (Advanced Encryption Standard) виде с использованием симметричного 256-битного ключа, т.е. ключ для шифрования и дешифрования совпадает. Поэтому при наличии ключа шифрования любой авторизированный пользователь домена сможет расшифровать пароль.

Теперь о том как централизовано сменить пароль локального администратора на компьютерах под управлением Windows XP SP2 и выше, входящих в домен. Открываем консоль управления групповой политикой (Group Policy Management Console) (через Server Manager, Пуск -> Администрирование или Win+R -> gpedit.msc) и редактируем выбранную политику. Поскольку политика изменяет настройки компьютера, то имеет смысл ее привязать к OU, где у вас хранятся аккаунты комьютеров. В Group Policy Management Editor отправляемся в

Computer Configuration -> Preferences -> Control Panel Settings -> Local User and Groups
  • Щелкаем ПКМ или через меню Action выбираем New -> Local User. Перед вами появится окно New Local User Properties в нем и будем настраивать пароль и другие опции. Local User and Groups
  • Свойства пользователя
    user_properties
    • Action: оставляем Update
    • User name: выбираем Administrator (built-in) (это выберет локального администратора, даже если он был переименован)
    • Password и Confirm password – вбиваем желаемый пароль,Из галок выделяем Password never expires и Account never expires.

После добавления пользователя остается подождать, когда применится обновленная групповая политика (значение по-умолчанию 90 минут), впрочем можно форсировать события используя команду gpupdate /force. Как только пароли локальных администраторов на всех выбранных компьютерах изменены, групповую политику в целях безопасности рекомендуется удалить.