用域策略+脚本把客户端administrator帐号密码统一更改

格式：doc
大小：89.50 KB
文档页数：2

下载文档原格式

批量修改AD域用户密码

批量修改AD域用户密码解决方法：工具、脚本、PowerShelldsquery user ou=it,dc=itprocn,dc=com | dsmod user -pwd 123456 -mustchpwd yespowershell：Get-ADUser -Filter * -SearchBase "OU=it,DC=itprocn,DC=com" | Set-ADAccountPassword -Reset -NewPassword (ConvertT o-SecureString -AsPlainText "" -Force)Get-ADUser -Filter * -SearchBase "OU=it,DC=itprocn,DC=com" | Set-ADUser -ChangePasswordAtLogon $true-canchpwd {yes | no}指定用户是否可以更改其密码（yes 可以更改，no 根本不能更改）。

默认情况下，(yes)。

-pwdneverexpires {yes | no}指定用户密码是否永不过期（yes 表示是，no 表示不是）。

默认情况下，用户密码会过期 (no)。

-mustchpwd {yes | no}指定用户是否必须在下次登录时更改其密码（yes 必须更改，no 不必更改）。

默认情况下，用户不必更改密码 (no)。

-disabled {yes | no}指定是否禁用用户帐户登录（yes 禁用登录，no 允许登录）。

默认情况下，启用用户帐户登录 (no)。

-reversiblepwd {yes | no}指定是否应使用可逆加密来存储用户密码（yes 表示应该，no 表示不应该）。

默认情况下，用户不能使用可逆加密 (no)。

-acctexpires NumberOfDays指定从今天算起用户帐户将到期的天数。

利用net user命令来强制修改administrator密码.doc

利用net user命令来强制修改administrator密码我们知道在Windows XP中提供了“net user”命令，该命令可以添加、修改用户账户信息，其语法格式为：net user [UserName [Password | *] [options]] [/domain]net user [UserName {Password | *} /add [options] [/domain]net user [UserName [/delete] [/domain]]每个参数的具体含义在Windows XP帮助中已做了详细的说明，在此笔者就不多阐述了。

好了，我们现在以恢复本地用户“zhangbq”口令为例，来说明解决忘记登录密码的步骤：1、重新启动计算机，在启动画面出现后马上按下F8键，选择“带命令行的安全模式”。

2、运行过程结束时，系统列出了系统超级用户“administrator”和本地用户“zhangbq”的选择菜单，鼠标单击“administrator”，进入命令行模式。

3、键入命令：“net user zhangbq 123456 /add”，强制将“zhangbq”用户的口令更改为“123456”。

若想在此添加一新用户（如：用户名为abcdef，口令为123456）的话，请键入“net user abcdef 123456 /add”，添加后可用“net localgroup administrators zhangbq /add”命令将用户提升为系统管理组“administrators”的用户，并使其具有超级权限。

4、重新启动计算机，选择正常模式下运行，就可以用更改后的口令“123456”登录“zhangbq”用户了。

二、利用“administrator”我们知道在安装Windows XP过程中，首先是以“administrator”默认登录，然后会要求创建一个新账户，以便进入Windows XP时使用此新建账户登录，而且在Windows XP的登录界面中也只会出现创建的这个用户账号，不会出现“administrator”，但实际上该“administrator”账号还是存在的，并且密码为空。

组策略统一修改客户端本地管理员密码

有关如何创建启动脚本您可以参考下面的链接：/technet/archive/community/columns/tips/2kscr ipt.mspx?mfr=true具体的操作方法如下：1. 点击“开始－>运行”并输入“DSA.MSC”?－>打开Active Directory用户和计算机2. 然后右键点击（您的域名）－>属性－>组策略。

3. 然后编辑该策略－>计算机配置－> Windows设置-脚本（开机/关机脚本）4. 双击启动，点击添加，点击浏览，然后将.vbs文件拷贝到弹出的对话中，然后选中该文件，点击打开，点击确定。

最后点击应用和确定。

下面是.vbs的具体内容：strComputer = "."Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "testtest01!"objUser.SetInfotesttest01!为您指定的新的管理员密码。

5、在DC上刷新组策略，然后重新启动一台客户端，测试管理员密码有没有被更改。

请注意：如果您在域策略上启用密码必须满足复杂性的话，那么您设的新密码一定要满足该条件，否则本地管理员密码不会被更改。

时间同步通常情况下，Windows 2000/xp/2003域成员有个w32time时间服务，它会自动与域DC进行时间同步，无需人为干涉，保持域内时间的同步是kerberos认证协议的一个基本要求，也是为了防止重放攻击的一种手段，如果域成员客户机与DC的时间相差太大的话，它的登录将不能成功，这时你可以手动调整系统时间，通常情况下，只要通讯无阻碍，域成员将自动与DC保持时间同步还可以在命令行下实现：net time /setsntp:time.×××.cn (设置时间服务器地址) net stop w32time (停止时间服务)net start w32time (启动时间服务)w32tm -s (立即同步时间)。

利用netuser命令来强制修改administrator密码

利用net user命令‎来强制修改a‎d minis‎t rator‎密码我们知道在W‎i ndows‎XP中提供了‎“net user”命令，该命令可以添‎加、修改用户账户‎信息，其语法格式为‎：net user [UserNa‎m e [Passwo‎r d | *] [option‎s]] [/domain‎]net user [UserNa‎m e {Passwo‎r d | *} /add [option‎s] [/domain‎]net user [UserNa‎m e [/delete‎] [/domain‎]]每个参数的具‎体含义在Wi‎n dows XP帮助中已‎做了详细的说‎明，在此笔者就不‎多阐述了。

好了，我们现在以恢‎复本地用户“zhangb‎q”口令为例，来说明解决忘‎记登录密码的‎步骤：1、重新启动计算‎机，在启动画面出‎现后马上按下‎F8键，选择“带命令行的安‎全模式”。

2、运行过程结束‎时，系统列出了系‎统超级用户“admini‎s trato‎r”和本地用户“zhangb‎q”的选择菜单，鼠标单击“admini‎s trato‎r”，进入命令行模‎式。

3、键入命令：“net user zhangb‎q123456‎/add”，强制将“zhangb‎q”用户的口令更‎改为“123456‎”。

若想在此添加‎一新用户（如：用户名为ab‎c def，口令为123‎456）的话，请键入“net user abcdef‎123456‎/add”，添加后可用“net localg‎r oup admini‎s trato‎r s zhangb‎q/add”命令将用户提‎升为系统管理‎组“admini‎s trato‎r s”的用户，并使其具有超‎级权限。

4、重新启动计算‎机，选择正常模式‎下运行，就可以用更改‎后的口令“123456‎”登录“zhangb‎q”用户了。

二、利用“admini‎s trato‎r”我们知道在安‎装Windo‎w s XP过程中，首先是以“admini‎s trato‎r”默认登录，然后会要求创‎建一个新账户‎，以便进入Wi‎n dows XP时使用此‎新建账户登录‎，而且在Win‎d ows XP的登录界‎面中也只会出‎现创建的这个‎用户账号，不会出现“admini‎s trato‎r”，但实际上该“admini‎s trato‎r”账号还是存在‎的，并且密码为空‎。

域环境批量修改本地管理员密码

在比较大一点的环境中，我们会经常遇到这样的情况，由于电脑的批次不一样，或IT人员流动的问题，造成电脑的本地管理员密码不一致，当我们需要登录到本地管理员的时候，往往会不知道本地管理员密码，虽然我们可以通过进PE的办法破解密码，但如果电脑比较多，那么这将是一个讨厌的工作。

如果是域环境，我们可以组策略的方式批量修改计算机的本地管理员密码。

在生产环节中不建议直接修改域策略，我们可以创建一个新策略；如果是针对个别OU的，一定要注意很多时候，我们把计算机加入到域后，就将计算机放在了默认的容器里面了，应该将计算机也放入到对应的OU里面；
1、点击服务器任务栏左下角的开始，再点击管理工具
2、组策略管理--右击default domain policy策略（或者新建GPO），在选择编辑
3、展开计算机配置--首选项--控制面板--本地用户和组
4、在右边空白的地方，右键点击，选择新建--本地用户
5、在操作选择更新；用户名选择administrator（内置），并重新输入密码；密码的一些属性，这个根据实际情况选择；
注意：如果是清装原版的系统，都会新建一个管理员账户的，所以在这里并不一定是Administrator
6、选择确定
7、更改好，在右边会出现一个Administrator的账户
注意：如果客户端是Windows XP需要安装KB943729补丁
当然批量修改管理员密码的方法不止这一种，也可以通过脚本，但相对来说使用组策略比较简单，不过组策略的排错有点麻烦，但相对于脚本，我觉得这种方法比较简单，可以根据自己的
情况，选择合适的方法。

域用户普通权限修改本地管理员密码

域用户普通权限修改本地管理员密码关于域用户修改本地管理员密码，网上已有很多资料，然并没有详细说终端用户是power users权限等怎样修改，下面我就来谈谈域用户为power users权限怎样通过域启动脚本来修改密码，供大家借鉴。

1、要想使用power users权限修改管理员密码首先应该赋予管理员权限。

2、用户执行或者看到的脚本不能显示用于修改后的管理员密码。

基于以上两点我们做如下操作a、新建启动脚本set sh=WScript.CreateObject("WScript.Shell")WScript.Sleep 1000sh.Run ("Runas /user:administrator adpassword.exe" )WScript.Sleep 1000sh.SendKeys "{ENTER}"WScript.Sleep 1000sh.SendKeys "1234{ENTER}"WScript.Sleep 1000sh.SendKeys "{ENTER}"把以上复制保存为VBS后缀，这几行脚本作用就是以管理员权限执行adpassword.exe程序，adpassword.exe程序就是我们修改为密码的命令，“1234”为原本地用户administrator的原始密码。

b、新建脚本代码strComputer="."Set objUser=GetObject("WinNT://" & strComputer & "/Administrator,user")objUser.SetPassword "111@abc"objUser.SetInfo保存为VBS后缀，使用文件转换或用VB编译为EXE文件并命名为adpassword.exe，此目的是不让用户看到明文显示的修改后管理员密码。

一种批量更改WINDOWS本地系统管理员密码的解决方法

１２９
福
建
电
脑
２００８年第１期１
一
种批量更改ＷＩＤＷＳ本地系统管理员密码的ＮＯ解决方法
陈新
６０３）（解放军第一七四医院福建厦门３１０ ‘
【要】摘：为了保证系统安全，一般建议定期修改系统管理员密码。但是在没有加入域的计算机，台台去登录到计算一机去修改本地管理员口令是一件很麻烦的事。本文讨论一种方法，在原始密码相同的情况下，用脚本和小工具软件。量利批更改局城网内ｗｎｏｓ地系统管理员密码。ｉｄｗ本【关键词】系统安全修改密码脚本：
一
用户模式运行．我们没有将修改管理员密码的功能在程序内部
实现，是通过１ｎｓ替代程序来提升权限。行批处理文件来而－ｓｕ执间接修改管理员密码。３１生成加密的修改密码批处理文件．我们使用的ｔｎｓ令替代程序为ｃｐ。Ｃａｕａ命ａｕｐｕ自身带有
．
务。以用一般帐户登录。后使用ｍｎ８命令来运行需要更大径，以是ｗｂ服务器上的路径。可以是映射的网络驱动器。可然ａ可ｅ也权限的工具。这可以根据内部局域网的使用实际情况决定。因此．可以考虑．写修改管理员密码的批处理或脚本３我们编．３工作组计算机的修改密码程序尝试获取网络密码文件文件。后利用ｔｎ８令提升权限，行批处理或脚本文件修然ｕａ命运自动修改密码程序按照指定的周期。尝试获取网络密码文改密码。件，判断密码文件有无变化。定是否需要执行。并确３４根据获得的密码文件修改本地密码．更改本地管理员密码的ｖｘ脚本如下：ｂ在程序内调用外部￣ｐａｕ程序。行加密文本，改系统本执修ｌ啦ｃｏ眦ｅ．ｑｒ＝。地管理员密码。

windows客户端登陆域修改密码方式

1、WindowsXP修改域密码方法：运行里输入control userpasswords2回车：
进入用户账户管理界面：
选择“高级”：
点击“管理密码”：
点击“添加”按钮：
此处在“服务器”中写入：192.168.18.18（域控制器IP），用户名输入当前用户所在域的用户名：如：sf-wh.local\xiejie，密码输入初始密码：123，点击确定，我测试时没有直接点击更改，可以试试，不确定直接更改。

输入旧密码即：123，输入新密码（自己牢记），输入两次按确定即可。

最后可以使用帐号和新密码登录SF-WH域或者文件服务器了。

2、Windws 7修改域密码方法：
按住窗口件+R，弹出运行对话框：
键入四方文件服务器IP地址，输入格式：\\192.168.18.12，此时弹出提示要求输入域帐号和密码：
用户名：名字全拼，初始密码：123，此时提示首次登录之前需要修改密码：
可以按键盘的ctrl+alt+del组合键，弹出菜单中点击“更改密码”，此时在账户中输入sf-wh.local\用户全拼，“旧密码”中输入123，重新输入个人“新密码”，点击向右箭头确定即可。

注：建议直接从域登录系统使用内部文件服务器。

如何在域控上实现同时更改所有客户端本地administrator的密码

例一、更改域客户机本地管理员密码1．在DC或者有权限的电脑上运行管理工具－Active Directory 用户和计算机，选定你欲操作的OU，新建一组策略，添加一条开机脚本。

2．开机脚本内容如下Changing the Local Administrator Password.vbsfile: Changing the Local Administrator Password.vbsAuthor: MicrosoftstrComputer = "."Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")objUser.SetPassword "testpassword"objUser.SetInfo3．保存组策略后，运行cmd，执行secedit /refreshpolicy MACHINE_POLICY命令立即刷新组策略。

注：1. 本例不考虑管理员口令已改名的情况2. 不考虑口令已经更改过，只要客户端重启就重置一次密码。

注意：把脚本集中存放在一个目录下，设置该目录权限，去除domain user，添加domain computer例二、统一系统内置管理员帐号的帐号名脚本如下：file: Remove User from Local Administrators Group.vbsAuthor: FinaLDate: 2004-4-19 21:46说明: 移出本地管理员组中不需要的帐号strComputer = "." //“.”代表本机ValidUsers = "administrator"//需要保留的用户名，可以指定多个Set objGroups = GetObject("WinNT://" & strComputer & "/Administrators,group")For Each objUser in objGroups.MembersIf InStr(1,ValidUsers,,1)=0 ThenobjGroups.Remove(objUser.AdsPath) //删除帐号使用computer对象的delete方法End IfNext例3清理客户端的管理员权限帐号1.先把客户端系统内置的管理员帐号统一为administrator。

利用“administrator” 修改电脑密码

1、重新启动计算机，在启动画面出现后马上按下F8键，选择“带命令行的安全模式”。

2、运行过程结束时，系统列出了系统超级用户“administrator”和本地用户“zhangbq”的选择菜单，鼠标单击“administrator”，进入命令行模式。

3、键入命令：“net user zhangbq 123456 /add”，强制将“zhangbq”用户的口令更改为“123456”。

若想在此添加一新用户（如：用户名为abcdef，口令为123456）的话，请键入“net user abcdef 123456 /add”，添加后可用“net localgroup administrators abcdef /add”命令将用户提升为系统管理组“administrators”的用户，并使其具有超级权限。

4、重新启动计算机，选择正常模式下运行，就可以用更改后的口令“123456”登录“zhangbq”用户了。

利用“administrator”
我们知道在安装Windows XP过程中，首先是以“administrator”默认登录，然后会要求创建一个新账户，以便进入Windows XP 时使用此新建账户登录，而且在Windows XP的登录界面中也只会出现创建的这个用户账号，不会出现“administrator”，但实际上该“administrator”账号还是存在的，并且密码为空。

当我们了解了这一点以后，假如忘记了登录密码的话，在登录界面上，按住Ctrl+Alt键，再按住Del键二次，即可出现经典的登
录画面，此时在用户名处键入“administrator”，密码为空进入，然后再修改“zhangbp”的口令即可。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

用域策略+脚本实现把客户端administrator帐号密码统一更改
功能：在域环境中，用admin.bat文件做开机脚本，把客户端计算机的本地administrator
帐号密码统一更改。

1。

首先，登陆域控制器计算机，做一个admin.bat文件，内容是net user administrator password 保存。

这个文件的意思是把 administrator 的密码更改成
password，把admin.bat文件放在桌面上。

2。

在AD上建立一个名字为更改密码的组织单位。

在域控制器上双击打开Active Directory 用户和计算机，右键单击你的域名-新建-组织单位，命名为更改密码。

3。

把要修改密码的计算机移动到刚才建立的更改密码这个组织单位内。

在域控制器上双击打开Active Directory 用户和计算机，左键展开域目录，找到Computers这个容器，左键点击它一下，这时右边会列出你的域内所有的计算机名称。

左键选定你要选的计算机，
右键单击选定的计算机-移动，
选择更改密码这个组织单位，然后点确定。

这样就把你选中的计算机移动到了更改密码这
个组织单位内了。

4。

建立客户端计算机开机脚本策略。

在域控制器上双击打开Active Directory 用户和计算机，左键展开域目录，右键更改密码这个组织单位-属性-组策略-新建，把策略命名为admin，左键点编辑-点计算机配置下面的windows 设置-点脚本（启动/关机）-双击右边的启动-点添加-点浏览，把放在桌面上的admin.bat文件复制到打开的这个位置。

选中admin.bat，点打开-确认-确认-关闭组策略编辑器-确认。

这样，客户端计算机开机脚本
策略已建立好。

5。

在域控制器计算机上不要再做任何设置了，因为域策略自动生效时间他们说是15分钟-2小时，这个我不清楚，但是你想要客户端计算机马上应用这个策略，那在客户端计算机上重新启动计算机即可。

有时候网络原因和服务器响应慢的原因，你可以先刷新策略，在客户端计算机上打开MS-DOS窗口，客户端操作系统是Windows 2000 的话，敲命令Secedit /refreshpolicy machine_policy /enforce再重起计算机，客户端操作系统是WindowsXP 的话，敲命令 gpupdate /force再重起计算机。

注意说明：这个策略是针对计算机来的。

上面第4点中的策略编辑时，一定是选的计算机配置下面的，而不是用户配置下面的，admin.bat文件就放在点击浏览时出现的位置就可以了。

上面第5点中的命令，Windows 2000的命令没试过，是从网上找的资料，我当时Windows 2000系统的客户端计算机是直接重起的，Windows XP的命令是正确的，我试过。

如果怕admin.bat文件的内容会被用户看到，可以在域控制器计算机上把
C:\WINDOWS\SYSVOL\sysvol这个文件夹共享里面的用户设置全部删掉，再添加 Domain computer这个进去即可，不过这个我没试过,网上朋友说是可以的。

题外话：这个脚本是非常有用的，只要更改admin.bat的内容就可以实现很多不同的功能。