Skip to main content

Active Directory GPO 變更 Local Admin Password

前言

最近剛好有個有個Case,要透過AD更改Local Admin User Password,紀錄一下設定方式。

‼️請注意,由於密碼是明碼,請在變更完後一段時間將此GPO與ps1刪除,以策安全。

環境

Server:Windows 2019 Active Directory

Client:Windows 11 Pro

設定方式

1、首先,先建議一個 Power Shell ps1檔備用。

執行命令提示字元 "cmd",我在 C:\temp下面透過 Copy con建立一個 Change-LocalAdminPassword.ps1,將下面的指令貼入,最後 Ctrl+Z儲存離開。

$newPassword = "密碼"
$adminUsername = "帳號"
$adminUser = [ADSI]"WinNT://./$adminUsername, user"
$adminUser.SetPassword($newPassword)
$adminUser.SetInfo()

圖片.png

2、至群組原則管理,新增一個物件。

圖片.png

建立一條 Change_LocalAdmin的GPO。

圖片.png

3、針對剛剛建立的物件進行編輯。

圖片.png

至 電腦設定 => 原則 => 系統管理範本 => Windows元件 => Windows PowerShell => 開啟指令碼執行,允許指令碼執行。

圖片.png

圖片.png

4、至 電腦設定 => 原則 => Windows設定 => 指令碼 => 啟動,設定Logon Script。

圖片.png

點選PowerShell指令碼,新增

圖片.png

點選瀏覽,先記下目錄位置

圖片.png

圖片.png

你將會在 C:\Windows\SYSVOL\ 下面找到一樣的路徑,將步驟1建立的ps1檔Copy至此。

圖片.png

回到剛剛指令碼的選擇畫面,就可以看到了

圖片.png

變更執行順序後,確定離開

圖片.png

5、此時點選到GPO物件,應該就可以透過下圖看到剛剛設定的內容了。

圖片.png

將此GPO物件,拖曳至我們測試用的 Test OU即可。

圖片.png

圖片.png

反向檢查

我們到此Test OU的電腦上,執行 gpupdate /force

gpupdate /force

圖片.png

再執行 gpresult /R,確認 GPO 是否有套到,這樣就可以了喔。

gpresult /R

圖片.png

No Comments
Back to top