iT邦幫忙

0

關於AD最高權限密碼修改

匿名 2012-08-24 09:39:0315202 瀏覽

小弟來這間公司一年多,發現這間公司因過去已經有5-6年沒有請MIS,所以有很多人知道最高權限(administrator)密碼,最近公司在下資安政策,但因為太多人資到最高權限密碼,所以導致在進行作業時上的困難,有無方法可以修改最高權限的密碼嗎??

4
花輪
iT邦大師 1 級 ‧ 2012-08-24 19:42:28
最佳解答

樓上很多大大都說得很好~

oowo提到:
檢查各User有沒有很神的自動把自己的帳號變成admin群組權限(有的話你改了一樣沒用)

一樓的O大已經說了.. (這是重點!)

聰明的 USER 第一時間就已經把自己的 DOMAIN 帳號加入 DOMAIN ADMINS 群組了,如果真是這樣,那樓主單單是修改 DOMAIN 的 ADMINISTRATOR 密碼也幫助不大...

我想到一招: 把 DOMAIN 的 ADMINISTRATOR 與 GUEST 帳號 ID 交換,再把 GUEST DISABLE,讓原來的最高權限帳號變成 沒用,這樣它們就會來找你,你就知道有哪些人在用最高權限,然後視情況做處理(因為有些人可能是主管或有背景的!),順便做紀錄以便日後......
但這招無法解決上面我說的問題~

看更多先前的回應...收起先前的回應...
u8526425 iT邦大師 1 級 ‧ 2012-08-24 22:49:37 檢舉

有這麼麻煩嗎 ?
從AD user管理裡面從domain admin群組把不該有的帳號踢掉就可以了吧
搞定以後
處理local administratos群組的user account也只是小菜一疊

花輪 iT邦大師 1 級 ‧ 2012-08-25 17:29:39 檢舉

若您公司有幾百或幾千人,又有一半以上拿著 NB 經常在外面沒連進公司網路,您就不會覺得是小菜了! 這些人又都是有 Local Adminstrators 的兄弟..

規定也訂了,講也講了N遍,大家依然故我,難啊~

u8526425 iT邦大師 1 級 ‧ 2012-08-26 09:38:38 檢舉

對我來說已經可以遠端處理的問題
也沒技術瓶頸
處理時間也很短
根本也不成問題

收回user端admin權限的阻力
從不是不知道要怎麼收
而是公司文化與上層是否願意支援背書上面

匿名 檢舉

小弟看完各個大大的意見,各方面都有想到一些問題,現在都排除了,也更改好了,感謝大大們唷!!!

4
oowo
iT邦高手 1 級 ‧ 2012-08-24 10:11:42

本機的admin?還是那的admin?
聽說群組原則可以一次性更改大量PC的本機admin
但建議手動操作
一來要檢查各User有沒有很神的自動把自己的帳號變成admin群組權限(有的話你改了一樣沒用)

匿名 檢舉

小弟可能沒有表達清楚,我說的是網域的admin密碼!!><

8
jazozazo
iT邦高手 1 級 ‧ 2012-08-24 10:14:36

你說的應該是本機的吧

看更多先前的回應...收起先前的回應...
匿名 檢舉

小弟可能沒有表達清楚,我說的是網域的admin密碼!!><

jazozazo iT邦高手 1 級 ‧ 2012-08-24 10:34:02 檢舉

那就直接改掉admin密碼不就得了
以前沒mis沒差
現在有mis了 還要繼續嗎?

jazozazo iT邦高手 1 級 ‧ 2012-08-24 10:43:29 檢舉

微軟的標準做法是這樣
你在ad環境產生一個加入 domain admins群組的帳號
然後將admin的帳號停用 或是更改登入名稱
這樣就只有最高權限的管理員知道
這樣建議不知道樓主接不接受

匿名 檢舉

直接改網域最高權限administrator的密碼??
AD網域修改的方式是?@@

jazozazo iT邦高手 1 級 ‧ 2012-08-24 10:47:42 檢舉

最快的方法就是
你用網域的administrator帳號登入一部server
假如是dc主機好了
按下 alt+ctrl+del
就可以修改密碼了
夠快吧

6
vitas0319
iT邦新手 5 級 ‧ 2012-08-24 10:24:18

是要改Client本機Administrator的密碼嗎?
如果是的話...試試寫個BAT檔
net user administrator password

然後存檔把這個BAT檔轉成MSI檔用AD去派送。

匿名 檢舉

小弟可能沒有表達清楚,我說的是網域的admin密碼!!><

4
ctipde
iT邦高手 1 級 ‧ 2012-08-24 10:42:48

不了解你的意思?? 不知如何修改網域admin的密碼? 請至DC主機操作或是遠端桌面操作也行,前提是你需要知道Admin的密碼..
建議直接在主機操作,先進入到終端機管理介面把所有連到此主機的使用者全部斷線,當然一勞永逸的方法是先把主機網路線給拔掉,這樣就可以確保不會有人在你修改密碼時還在此主機內登入並再次修改你的密碼(如果對方在你修改密碼前遠端登入又在你修改密碼後未登出其權限還是可以把你的密碼改掉的)不知版大的意思是否是如此??

4
hon2006
iT邦大師 1 級 ‧ 2012-08-24 10:48:35

1.如果你知道現在的網域的administrator密碼是什麼,就直接改掉吧.
2.如果你不知道網域的administrator密碼是什麼,但是可以碰的到主機,就可以改掉密碼.
請參考 http://hi.baidu.com/davidw3000/blog/item/dbf3ef107bec3b06213f2e53.html

10
u8526425
iT邦大師 1 級 ‧ 2012-08-24 11:03:45

domain的admin密碼可以改
但是你要確認一下各種服務的啟動帳號密碼有沒有是該帳號的
不然有可能啟動失敗

10
jamesfisher
iT邦研究生 5 級 ‧ 2012-08-24 11:05:21

最大的問題是.
你要先找到綁這個帳號的服務與相關功能.
不然改完密碼後.當初用這帳號建的程式服務。因為密碼驗證錯,而不能使用.
到時全公司會雞飛狗跳.被影響到的人都會來怪改密碼的人.

好處是.了解公司有那些系統上手會很快.因為掛掉的都會來找你.

若你不能擔下改密碼後系統出問題的風險,也覺得自己沒技術解決.
建議你別輕易地改.

用domain administrator登入DC -> ctrl +alt +del ->更改密碼.
or
開啟 AD管理工具的使用者與群組.找到administrator ->更改密碼.

匿名 檢舉

對阿,我就是怕這些問題存在才不敢亂改,ERP各類系統相關的帳號,到時候怕會一整個月全勤加班囉><

4
ghost234
iT邦新手 4 級 ‧ 2012-08-24 11:11:06

步驟一:不管是遠登桌面或直接登入DC主機,先以管理者帳戶登入
步驟二:進控制台==>系統管理工具==>Active Directory 使用者及電腦
步驟二:找到管理者帳戶名(如果未改的話預設是Administrator)
步驟二:對著該管理者帳戶右鍵==>修改密碼即可

ps:你需要額外注意
如果管理者群組中有其它管理者
請確定是否要一併修改密碼或停用
不然你只有改administrator帳戶的密碼
但未改其它管理者帳戶的話,等於沒改

我要發表回答

立即登入回答