公司有架設AD((OS:WIN 2003 SERVER))
有什麼方法可以一次更改所有CLIENT端的開機密碼??
另外就是,CLIENT端更改完密碼後,AD上有定期更改開機密碼的設定嗎?
有的話,是否也可以設定密碼使用幾個月後,
定時讓使用者更換密碼的嗎?
這要分2個方面來看
第一,妳要批次修改AD上的用戶密碼
解決方法:
用純文字檔,建立一個set_password.csv的文件,內容只有帳號,密碼
例如:
<pre class="c" name="code">
Orz,password
OTz,password2
...
...
...
要注意的是帳號、密碼都有分大小寫
再來,建立一個批次檔,內容如下:
<pre class="c" name="code">
CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO 正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\set_password.csv) do (
set username=%%i&set password=%%j
echo 正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo 設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
exit
將這兩個檔案同時存放於AD電腦中,並執行批次檔
請注意程式碼第10行有路徑
以上,是批次修改大量帳密的方法
第二,是妳要設定用戶的密碼時效,這可以在GPO中設定
不懂為何要一次更改所有CLIENT端的開機密碼??
如果是要強迫user馬上變更密碼,不如在上面圖案 -->密碼最長有效期-->1天
那麼24小時後大家重新登入,就一定要變更密碼!
等user變更後再改為你要的天數就好了!
1.應該是在ad使用者與電腦當中,全選所有使用者
全部選取【使用者必須在下次登入時變更密碼】
這樣所有client端,下次登入時就一定被要求要變更密碼了
2.ad當中的群組原則管理,開啟default domain policy
編輯安全性設定-帳號原則-密碼原則-密碼最長有限權限
修改這個選項,能控制幾天能會被要求變更密碼
應該先釐清楚你所謂的Client 端定義?
是AD上的帳號嗎? 還是每一台XP Pro 上的Adminstrator 帳號?
因為如果是AD的帳號,只要所有XP Pro 登入到該AD Domain 時就可透過 AD管理方式強迫變更密碼
若你說的是 XP Pro 上的本機帳號...可能就要一台台去改了...不知道有無script可以批次改本機端的administrator 的密碼否?