چطور پسورد ادمين همه كامپيوترهاي دامين را عوض كرد

[802.1x]

1- بله، ممکنه کاربر یه admin دیگه ساخته باشه، برای این هم راه حل وجود داره. ما می توانیم Script بنویسیم. پس می توانیم کارهایی که می خواهیم را انجام دهیم.
می توان با نوشتن یک Script و اجرای آن با همان سطح دسترسی قبل (توسط Startup Script) تمامی کاربران Local بغیر از Administrator را غیر فعال کرد.
حتی اگر احتمال تغییر نام دادن کاربر Administrator را بدهیم، می توان با نوشتن Script با استفاده از GUID، آن کاربر را پیدا کرد و مجددا به نام Administrator یا هر نام دیگری تغییر نام داد و ادامه بازی.
یا می توان با نوشتن یک Script تمامی کاربران را از گروه Administrators خارج کرد و فقط کاربر Administrator و گروه Domain Admins در آن گروه باقی بمانند.

نیازی به نوشتن یک اسکریپت نیست. براحتی می توان این کار رو با استفاده از قابلیت Restricted Groups در Group Policy انجام داد. به وسیله این قابلیت می تونید تمامی کاربران تعریف شده بر روی کلاینت های مقصد رو به صورت اتوماتیک حذف نموده و کاربران مورد نظر خودتون رو اضافه کنید.

[inezarat]

اينكه يكي از دوستان گفته بودنند پسورد در اين اسكريپت بصورت clear text است و كاربران مي توانند آن را ببينند درست نيست
چون اين اسكريپت كه من گزاشتم آرگومان دارد و پسورد را از طريق آرگومان گروپ پالسي ميشه بهش داد و اون به هيچ وجه ديگه قابل دبدن نيست .
اين كه من 4444 رو نوشتم برا توضيح ندادن آرگومان بود ، شرمنده

[Hakimi]

اشتباه می کنید.

حتی اگر Password را به عنوان پارامتر از طریق Group Policy به Script ارسال کنید، باز هم Encrypt نمی شود و به صورت Clear Text در Registry ذخیره می شود و قابل دیدن است.

مسیر Startup Script در Regisrty:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Group Policy\State\Machine\Scripts\Startup

زیر این مسیر می توانید Folder های شماره گذاری شده ای را ببینید که هر کدام مربوط به یک Script هستند، زیر هر یک از این Folder ها می توانید Folder دیگری را بیابید که باز هم با شماره نامگذاری شده و زیر آنها تنظیمات مربوط به Script مورد نظر از قبیل نام فایل Script، پارامترهای آن و ... را می توانید مشاهده کنید. حال اگر Password را به عنوان یک Parameter ارسال کرده باشید، در این قسمت به سهولت قابل مشاهده است.


شاید در انجام این کار، یک راه برای حفظ رمز عبور از دسترسی دیگران این باشد که Script مورد نظر را Compile کنیم. البته من تا به حال این کار را برای اجرای Script ها نکرده ام و نمی دانم درست کار می کند یا نه.
برای Compile کردن و تبدیل Batch File به exe ابزارهای مختلفی وجود دارند که با گوگل کردن می توانید بیابید.
یک نمونه از این ابزارها:
http://www.f2ko.de/downloads/Bat_To_Exe_Converter.zip

اگر تست کردید ما را هم از نتیجه بی نصیب نگذارید

[nkm]

من تست کردم کار میکنه!!!

[Hakimi]

چی کار می کنه؟

[nkm]

شما نوشته بودید که هرکسی تست کرد خبر بده ، من ندیده بودم تا امروز بر خوردم به این پست تغییر پسورد آدمین کامپیوتر های دومین که لینک شده بود به اینجا که دیدم شما نوشتید اگر کسی امتحان کرد خبر بده منم دادم!

[Hakimi]

در مورد تستی که انجام دادی توضیح می دی که چطور تست کردی؟ با اسکریپت یا Compile کردی؟

[nkm]

من یه بچ فایل نوشتم به این صورت:

net user administrator [PASSWORD]
net user pcadmin [PASSWORD]

چون من توی اکتیو تنظیم کردم که اسم کاربر ادمین بشه PCAdmin

بعد اون فایل BAT را کامپایل کردم به EXE و در StartUp Script گزاشتم
چون در هر حال متاسفانه پسورد کلیر هست

البته یه بار اومدم یک تکه برنامه نوشتم برای این کار که متاسفانه چون با دات نت بود اگه جایی فریمورک نداشت کار نمیکرد
ولی در اولین فرصت اون را دوباره با C باز نویسی میکنم
به این صورت که 2تا برنامه داشتم
برنامه اصلی که پسورد را میدادی و اون اینکریپت شده اش را بهت میداد و بعد در StartUp Script فایل دوم و پارامتر پسورد کد شده را میدادم و خود فایل بعد دکریپت کردن اون را به عنوان پسورد ادمین ست میکرد و تمامی یوزهای عضو گروه ادمین جز کاربر لوکال ادمین و دومین ادمین همه را پاک میکرد

[nkm]

البته من الان موقت از فلاپی پسورد ریمایندر استفاده میکنم
و در گروپ پالیسی کاربر ادمین را غیر فعال میکنم
و بعد در صورت نیاز ادمین را با فلاپی باز میکنم
ولی هنوز تستهای اطمینان کارکرد را نتونستم کامل انجام بدم
چون گاهی وقتا درست کار میکنه و گاهی نه!!!

[mhsnrah]

کد:

Set objOU = GetObject("LDAP://OU=Finance, DC=fabrikam, DC=com")
objOU.Filter = Array("Computer")

For Each objItem in objOU
    strComputer = objItem.CN
    Set objUser = GetObject("WinNT://" & strComputer & "/Administrator")
    objUser.SetPassword("i5A2sj*!")
Next

microsoft.com/technet/scriptcenter/resources/qanda/oct04/hey1015.mspx

[technology]

سلام :

آقا این بج فایل که شما نوشتین توی group policy در قسمت script امتحان کردین ؟ درست کار میکنه ؟
این برنامه ها رو میشه به صورت بج فایل در قسمت script GPO برای کاربران یا کامپیوترها قرار داد ؟؟؟

[nkm]

امروز داشتم بعد از مدتها توي نت ميگشتم
چشمم به اين افتاد
اينجور كه نوشته نرم افزار خوبيه براي اين كار

پی سی دانلود : مدیریت بر روی تمام آدمین های کامپیوتر ها به صورت نا محدود با SystemTools: Hyena 7.5B

[boby.fruit]

سلام به همگي
من هم مشكلي مشلبه مشكل تغيير Local Administrator تمامي كامپيوترهاي شبكه رو داشتم ولي با چندتا دستور خيلي ساده مشكلم برطرف شد.
نصب نرم افزاز Resource kit ماكروسافت.

با دستور CSVDE ليست كامپيوترهامو درآوردم و سپس دستور زير را در يك فايل .bat ساختم.

echo OFF
cls
echo administrator Active Directory Users List for Arikeh Network
echo off
echo PC List File is generated to file "PCLIST.CSV"
pause
pspasswd @PCLIST.CSV administrator F@raso0

اميدوارم مفيد باشه

[sehagh]

اولا دلیلی نداره که کاربر به رجیستری دسترسی داشته باشه و همچنین امکان استفاده از مدیا های مختلف رو داشته باشه

اگه سند امنیتی ،لایه های حفاظتی و سطوح دسترسی تعیین شده باشه( تو جایی مثل دانشگاه!!!!!) کاربر غیر از باز کردن اینترنت اکسپلورر و احتمالا برنامه های تحقیقاتی روی کامپیوتر حتی اجازه باز کردن فایل های rar رو هم نباید داشته باشه

توجه داشته باشید که اجرای یه فایل exe یا حتی یه عکس bind شده میتونه کل شبکه شما رو دان کنه

کاری که یک بار انجام دادم!!!! البته باکمک چند تا از دوستان! آدرس default gateway دانشگاه رو زیر ping حجم بالا گذاشتیم شبکه دان شد این ساده ترین راه برای آسیب رسوندن به شبکه س و غالبا تو دانشگاه ها از این آدما زیادن پس باید جلوی دسترسیشون رو گرفت

[ahd_dc]

درخواست شما یکی از چندین قابلیت اضافه شده در Windows Server 2008 می باشد.

راهنمایی میکنید چطور میشه با خود ویندوز سرور 2008 این کار رو (تغییر پسورد لوکال تمام کامپیوتر ها از دامین) انجام داد ؟