iT邦幫忙

0

AD Server 用戶端一次更改密碼

  • 分享至 

  • xImage

公司有架設AD((OS:WIN 2003 SERVER))

有什麼方法可以一次更改所有CLIENT端的開機密碼??

另外就是,CLIENT端更改完密碼後,AD上有定期更改開機密碼的設定嗎?

有的話,是否也可以設定密碼使用幾個月後,

定時讓使用者更換密碼的嗎?

http://blog.pixnet.net/landykin

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
34
tom6507
iT邦大師 1 級 ‧ 2009-01-06 19:26:11
最佳解答

這要分2個方面來看
第一,妳要批次修改AD上的用戶密碼
解決方法:
用純文字檔,建立一個set_password.csv的文件,內容只有帳號,密碼
例如:

<pre class="c" name="code">
Orz,password
OTz,password2
...
...
...

要注意的是帳號、密碼都有分大小寫

再來,建立一個批次檔,內容如下:

<pre class="c" name="code">
CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO     正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\set_password.csv) do (
set username=%%i&set password=%%j
echo     正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo     設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul 
exit

將這兩個檔案同時存放於AD電腦中,並執行批次檔
請注意程式碼第10行有路徑

以上,是批次修改大量帳密的方法

第二,是妳要設定用戶的密碼時效,這可以在GPO中設定

24
formosoft
iT邦新手 5 級 ‧ 2009-01-06 16:50:24

可以考慮使用OTP(One-Time Password)動態密碼。

22
小湯
iT邦好手 1 級 ‧ 2009-01-07 10:57:07

不懂為何要一次更改所有CLIENT端的開機密碼??
如果是要強迫user馬上變更密碼,不如在上面圖案 -->密碼最長有效期-->1天
那麼24小時後大家重新登入,就一定要變更密碼!
等user變更後再改為你要的天數就好了!

18
xxxyyyzzz
iT邦研究生 1 級 ‧ 2009-01-07 14:05:48

不懂為何要一次更改所有CLIENT端的開機密碼??
可能公司人員"異動".

24
glennlin
iT邦研究生 4 級 ‧ 2009-01-07 14:35:11

1.應該是在ad使用者與電腦當中,全選所有使用者
全部選取【使用者必須在下次登入時變更密碼】

這樣所有client端,下次登入時就一定被要求要變更密碼了

2.ad當中的群組原則管理,開啟default domain policy
編輯安全性設定-帳號原則-密碼原則-密碼最長有限權限

修改這個選項,能控制幾天能會被要求變更密碼

14
sheng514
iT邦新手 1 級 ‧ 2009-01-08 12:54:13

應該先釐清楚你所謂的Client 端定義?
是AD上的帳號嗎? 還是每一台XP Pro 上的Adminstrator 帳號?
因為如果是AD的帳號,只要所有XP Pro 登入到該AD Domain 時就可透過 AD管理方式強迫變更密碼
若你說的是 XP Pro 上的本機帳號...可能就要一台台去改了...不知道有無script可以批次改本機端的administrator 的密碼否?

我要發表回答

立即登入回答