Lokale Passwörten ändern per Gruppenrichtlinie

[lefg 276]

Hallo Gemeinde,

 

ich habe ein Problem. Ich soll die lokalen Administratorpasswörter der Rechner einer Domäne (schnell, sofort) ändern. Die Turnschuhadministration ist nicht praktikabel.

 

Bei geringem Sicherheitsbedürfnis würde ich es mit einem in der Computerkonfiguration der GP gestarteten Skript und net user machen. Auch das kommt hier nicht in Frage.

 

Das Ändern von PW per Gruppenrichtlinie war bestimmt schon Thema, ich finde im Moment aber für mich nchts brauchbares.

 

Deshalb die Frage an das Forum: Ist es bei einer 2k-Domäne möglich, lokale PW(Administrator) per GP zu änderm?

 

Dank für Aufmerksamkeit und Rat.

 

Edgar

[lefg 276]

Die Gruppenrichtlinien konnte meinen Herzenswunsch nicht erfüllen.

 

Die für mich erkennbare nächstbessere Lösung ist eine Batch.

 

em @echo off
cd\

set newpw=15jana07

\\1fs-lubeca\1Change_PW4WS$\cusrmgr.exe -u Administrator -P %newpw%

pause

 

Die Batch wird in der Computerkonfiguration der GP als Skript gestartet. Es läuft nichtsichtbar ab. Gespeichert ist es in einem verborgen freigegebenen Verzeichnis auf dem Server.

 

Berechtigungen auf die Freigabe und und die NTFS-Ressource hat eine Sicherheitsgruppe. Dieser gehören die zu ändernden Computer an.

 

Hat jemand Bedenken, Einwände und Verbesserungsvorschläge?

 

Dank für Aufmerksamkeit und Rat.

 

Edgar

[humpi 11]

Hi,

noch eine Idee wären die PSTools, hier PsPasswd.

[lefg 276]

Hallo,

 

an PsTools hatte ich auch gedacht. Ich konnte aber keinen Vorteil erkennen. Ich will die Änderung nicht Remote durchführen. Es ist völlig unbestimmt, wann ein Client startet. Der Client muss also nach dem Start und vor der Anmeldung die Änderung selbst durchführen.

 

Da fällt mir gerade ein, es wird noch eine Protokollführung benötigt.

[lefg 276]

Hallo,

 

da habe ich mich zu früh gefreut.

 

In einer Domäne klappt das Ändern des PW ohne Probleme. Egal ob mit statischer oder dynamnischer Zuweisung der IP.

 

In einer anderen Domäne will es nur mit statischer Adessierung funktionieren. Ich sehe den Grund dafür nicht. Kann nur den Unterschied zur anderen Domäne beschreiben.

 

Er liegt darin: Die Adressierung von IP und Gateway ist dynaisch. DHCP und Gateway ist eine Cisco-PIX. DNS läuft auf zwei DCs mit fester Adressierung. Auf beiden ist noch eine Weiterleitung an einen fernen Enterprise-DNS eingerichtet.

 

Im Moment sehe ich die Ursache dafür nicht.

 

Am eingesetzten Tool liegt es wohl nicht. Es wurde auch mit net user und pspasswd probiert.

 

Gruß

 

Edgar

[micha42 29]

Leider keine Antwort, aber wenn Du das herausgefunden hast, solltest Du ein kleines HowTo schreiben für das Projekt.

Ich denke, das ist ein immer wiederkehrendes Problem.

Ich hab das noch nie probiert, aber geht das nicht irgendwie über die eingeschrängten Gruppen?

viel Glück

[lefg 276]

... geht das nicht irgendwie über die eingeschrängten Gruppen?/QUOTE]Wüsste ich nicht.

Gäbe es da etwas, schätze ein Expert oder Mod hätte sich dazu geäussert. Möglicherweise ist dieser Thread auch unbeachtet geblieben.

 

Vom Prinzip hegt es ja. eine Batch vom Server wird als Startskript vom System ausgeführt. darin cusrmgr mit den Parametern Benutzer und Passwort. In den Netzen/Domänen mit normaler Struktur/Auflösung funktioniert es ja.

Nur in dieser einen nicht mit der PIX als DHCP.

 

Da fällt mir gerade noch etwas ein. Die Weiterleitung im DNS geht direkt an den fernen Enterprise-DNS. Früher in der AG machte die PIX auch den Forwarder. Das könnte ich ja mal probeweise umstellen.

 

Oh man, da muss ich bis Dienstag abend warten, erst dann komme ich da wieder ran. Dann kommt der "Besitzer" wieder. Das Sicherheitsmanagment wurde neu organisiert und mich haben die für das Ding als Admin "vergessen".