9
Lokales Administrator-Passwort für alle PCs im LAN ändern
Hallo,
wir haben ca 100 PCs im LAN, die User haben keine lokalen Adminrechte.
Nun sollen auf allen PCs das Kennwort für den lokalen Administrator automatisch geändert werden.
Die meisten PCs sind in der Windows-AD-Domäne, einige sind nur in einer Arbeitsgruppe.
Wie macht man das am besten?
vG
LS
wir haben ca 100 PCs im LAN, die User haben keine lokalen Adminrechte.
Nun sollen auf allen PCs das Kennwort für den lokalen Administrator automatisch geändert werden.
Die meisten PCs sind in der Windows-AD-Domäne, einige sind nur in einer Arbeitsgruppe.
Wie macht man das am besten?
vG
LS
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 301186
Url: https://administrator.de/contentid/301186
Printed on: April 26, 2024 at 00:04 o'clock
9 Comments
Latest comment
For all %1 ... do psexec und dann "net localuser..." als Schleife
oder cusrmgr.exe
Das geht bequem mit Adminrechten; evtl am AD selbst
Sysinternals hatte da noch ein anderes Tool genau dafür; fällt mir aber akut nicht ein (lokaluser sind bei uns seit x JAhren nicht mehr erlaubt zu erzeugen, bzw der Admin gesperrt)
Gruß
Sam
oder cusrmgr.exe
Das geht bequem mit Adminrechten; evtl am AD selbst
Sysinternals hatte da noch ein anderes Tool genau dafür; fällt mir aber akut nicht ein (lokaluser sind bei uns seit x JAhren nicht mehr erlaubt zu erzeugen, bzw der Admin gesperrt)
Gruß
Sam
Hallo Sam,
Du meinst pspasswd.exe.
Mein Problem ist (und das habe ich vergessen zu erwähnen), dass nie immer alle PC an sind.
Ich sich so was wie Gruppenrichtlinie. Ist der PC am Netz, wird das PW gesetzt (eventuell nur nach Änderung).
vG
LS
Du meinst pspasswd.exe.
Mein Problem ist (und das habe ich vergessen zu erwähnen), dass nie immer alle PC an sind.
Ich sich so was wie Gruppenrichtlinie. Ist der PC am Netz, wird das PW gesetzt (eventuell nur nach Änderung).
vG
LS
Ja das meinte ich. Lass den Job doch als Schleife laufen und dokumentieren oder bau's ins Loginscript mit ein. Mit Policies ist unser Netz (rund 8000 rein für Client Rechner) schon so verseucht das ich kein gutes Wort/Methode dazu noch verlieren will. Mit Powershell gibt es sicher auch gute integrierte Methoden, aber ein Dreizeiler dürfte das auch erfüllen und sogar eine Liste pflegen was er schon hat und was nicht; dann kannst du auch sehen wo der Job durch ging. Habe vor etwa 12 Jahren mal sowas für ein 80.000 Maschinen Netz gebaut und lief wie geschnitten Brot. Maschinenliste kannst du dir am AD rauslassen, per PS oder wie ich damals mit Hyena, da ich Abteilungsweise vorgehen wollte und Excel mein guter Freund ist 
Gruß
Sam
Gruß
Sam
Hallo,
schau dir mal LAPS (Local Administrator Password Solution) von Microsoft an.
Das lässt sich auf den Clients verteilen und regelmäßig ein neues, lokaes Adminkennwort für jeden PC einzeln erzeugen, dass dann über eine GUI ausgelesen werden und auf Knopfdruck geändert werden kann. Das Kennwort wird im AD hinterlegt.
schau dir mal LAPS (Local Administrator Password Solution) von Microsoft an.
Das lässt sich auf den Clients verteilen und regelmäßig ein neues, lokaes Adminkennwort für jeden PC einzeln erzeugen, dass dann über eine GUI ausgelesen werden und auf Knopfdruck geändert werden kann. Das Kennwort wird im AD hinterlegt.
1
Aber man braucht doch mindestens einen lokalen Administrator falls der PC mal aus der Domäne fällt?
Und ich hatte das so verstanden, dass es um den geht.
Stefan
Und ich hatte das so verstanden, dass es um den geht.
Stefan
Hi Stefan
da hast du schon recht, aber (SCCM) Neuaufsetzen geht stupider/schneller und Methoden wie PE+PasswordRenew sind einfach jedem Datenschützer ein Dorn im Auge. Meine Ära (Probleme finden+lösen) scheint in meiner Industrie (outsourcing via Gewerk an den billigsten Support) leider unaufhaltsam dem Ende zuzugehen. Mit genug Trimmung (so ein paar Mal totaler Datenverlust dank Verschlüsselung) lernen die Leute auch das sie alles im Netz lagern müssen. Ich sehe dieser Politik sehr verstört zu...
Gruß
Sam
da hast du schon recht, aber (SCCM) Neuaufsetzen geht stupider/schneller und Methoden wie PE+PasswordRenew sind einfach jedem Datenschützer ein Dorn im Auge. Meine Ära (Probleme finden+lösen) scheint in meiner Industrie (outsourcing via Gewerk an den billigsten Support) leider unaufhaltsam dem Ende zuzugehen. Mit genug Trimmung (so ein paar Mal totaler Datenverlust dank Verschlüsselung) lernen die Leute auch das sie alles im Netz lagern müssen. Ich sehe dieser Politik sehr verstört zu...
Gruß
Sam
Hi.
LAPS ist Microsofts Empfehlung. Ich habe Gründe, es anders zu machen: Sicherer Umgang mit Supportkonten und es ist auch einfacher.
LAPS ist Microsofts Empfehlung. Ich habe Gründe, es anders zu machen: Sicherer Umgang mit Supportkonten und es ist auch einfacher.
