一、前言:
我们知道window10装好后,默认本地管理员账号Administrator是关闭的,通过组策略启用本地管理员账号没有问题,具体方法在下面,但是由于微软《MS14-025:组策略首选项中的漏洞可能允许特权提升:2014 年 5 月 13 日 - Microsoft 支持》中组策略漏洞的公告后,通过组策略修改密码就不能用了。
本例演示利用脚本(启动/关机)来实现这个功能,但是受网络环境影响,不一定会生效。这里我推荐另一个解决方案 LAPS,AD 域环镜 本地管理员密码解决方案(LAPS)部署_tom.ma的博客-CSDN博客
1、启用本地管理员账号
计算机策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 → 账户:管理员账户状态
2、修改密码和确认密码功能变成灰色,不能使用
二、下面演示如何利用脚本(启动/关机)来实现这个功能。
1、创建GPO
2、 打开 Show Files 文件夹
计算机配置 → 策略 → Windows设置 → 脚本(启动/关机)
3、在Show Files 文件夹中创建脚本文件 ModifyPassword.ps1
# 修改密码为
Set-LocalUser -Name "administrator" -Password (ConvertTo-SecureString "Sbi@1234" -AsPlainText -Force)
4、把脚本添中进来
5、我们允许本地跟远程脚本运行
计算机配置 → 策略 → 管理模版 → Windows组件 → Windows PowerShell
6、客户机刷新组策略重启,查看日志
三、关于组策略刷新时间
1、默认情况下,计算机组策略每90分钟在后台更新一次,随机偏移量为0 ~ 30分钟。
2、默认情况下,后台自动刷新是启用的
3、默认情况下,脚本是登陆5分钟后才执行
