Active Directory GPO 變更 Local Admin Password

前言

最近剛好有個有個Case，要透過AD更改Local Admin User Password，紀錄一下設定方式。

‼️請注意，由於密碼是明碼，請在變更完後一段時間將此GPO與ps1刪除，以策安全。

環境

Server：Windows 2019 Active Directory

Client：Windows 11 Pro

設定方式

1、首先，先建議一個 Power Shell ps1檔備用。

執行命令提示字元 "cmd"，我在 C:\temp下面透過 Copy con建立一個 Change-LocalAdminPassword.ps1，將下面的指令貼入，最後 Ctrl+Z儲存離開。

$newPassword = "密碼"
$adminUsername = "帳號"
$adminUser = [ADSI]"WinNT://./$adminUsername, user"
$adminUser.SetPassword($newPassword)
$adminUser.SetInfo()

2、至群組原則管理，新增一個物件。

建立一條 Change_LocalAdmin的GPO。

3、針對剛剛建立的物件進行編輯。

至 電腦設定 => 原則 => 系統管理範本 => Windows元件 => Windows PowerShell => 開啟指令碼執行，允許指令碼執行。

4、至 電腦設定 => 原則 => Windows設定 => 指令碼 => 啟動，設定Logon Script。

點選PowerShell指令碼，新增

點選瀏覽，先記下目錄位置

你將會在 C:\Windows\SYSVOL\ 下面找到一樣的路徑，將步驟1建立的ps1檔Copy至此。

回到剛剛指令碼的選擇畫面，就可以看到了

變更執行順序後，確定離開

5、此時點選到GPO物件，應該就可以透過下圖看到剛剛設定的內容了。

將此GPO物件，拖曳至我們測試用的 Test OU即可。

反向檢查

我們到此Test OU的電腦上，執行 gpupdate /force

gpupdate /force

再執行 gpresult /R，確認 GPO 是否有套到，這樣就可以了喔。

gpresult /R