# Active Directory GPO 變更 Local Admin Password

### <span style="color: rgb(35, 111, 161);">前言</span>

最近剛好有個有個Case，要透過AD更改Local Admin User Password，紀錄一下設定方式。

<p class="callout warning">‼️請注意，由於密碼是明碼，請在變更完後一段時間將此GPO與ps1刪除，以策安全。</p>

### <span style="color: rgb(35, 111, 161);">環境</span>

Server：Windows 2019 Active Directory

Client：Windows 11 Pro

### <span style="color: rgb(35, 111, 161);">設定方式</span>

1、首先，先建議一個 Power Shell ps1檔備用。

執行命令提示字元 "cmd"，我在 C:\\temp下面透過 Copy con建立一個 Change-LocalAdminPassword.ps1，將下面的指令貼入，最後 Ctrl+Z儲存離開。

```
$newPassword = "密碼"
$adminUsername = "帳號"
$adminUser = [ADSI]"WinNT://./$adminUsername, user"
$adminUser.SetPassword($newPassword)
$adminUser.SetInfo()
```

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/ZxvIUstlCn.png)

2、至群組原則管理，新增一個物件。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/l4X2RG12kv.png)

建立一條 Change\_LocalAdmin的GPO。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/XSOAGebw5T.png)

3、針對剛剛建立的物件進行編輯。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/FMqkv3uBwB.png)

至 電腦設定 =&gt; 原則 =&gt; 系統管理範本 =&gt; Windows元件 =&gt; Windows PowerShell =&gt; 開啟指令碼執行，允許指令碼執行。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/8uiDCRJorT.png)

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/SRKjwLOL6M.png)

4、至 電腦設定 =&gt; 原則 =&gt; Windows設定 =&gt; 指令碼 =&gt; 啟動，設定Logon Script。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/mhPQhtSLzQ.png)

點選PowerShell指令碼，新增

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/raFiw3lgjM.png)

點選瀏覽，先記下目錄位置

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/woNh8QiPNF.png)

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/PHXbGOqri6.png)

你將會在 C:\\Windows\\SYSVOL\\ 下面找到一樣的路徑，將步驟1建立的ps1檔Copy至此。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/6uPVXnA61e.png)

回到剛剛指令碼的選擇畫面，就可以看到了

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/1JNs1fTMme.png)

變更執行順序後，確定離開

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/4gXpePZpMr.png)

5、此時點選到GPO物件，應該就可以透過下圖看到剛剛設定的內容了。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/DJLmGhKyCF.png)

將此GPO物件，拖曳至我們測試用的 Test OU即可。

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/tYpDMCfeyo.png)

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/Wa0D4aDi9l.png)

### <span style="color: rgb(35, 111, 161);">反向檢查</span>

我們到此Test OU的電腦上，執行 gpupdate /force

```
gpupdate /force
```

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/7xJir77AEo.png)

再執行 gpresult /R，確認 GPO 是否有套到，這樣就可以了喔。

```
gpresult /R
```

![圖片.png](https://mdfk.goddamn.idv.tw/uploads/images/gallery/2024-12/scaled-1680-/RKif0mw6wL.png)