樓上很多大大都說得很好~

oowo提到：
檢查各User有沒有很神的自動把自己的帳號變成admin群組權限(有的話你改了一樣沒用)

一樓的O大已經說了.. (這是重點!)

聰明的 USER 第一時間就已經把自己的 DOMAIN 帳號加入 DOMAIN ADMINS 群組了，如果真是這樣，那樓主單單是修改 DOMAIN 的 ADMINISTRATOR 密碼也幫助不大...

我想到一招: 把 DOMAIN 的 ADMINISTRATOR 與 GUEST 帳號 ID 交換，再把 GUEST DISABLE，讓原來的最高權限帳號變成 沒用，這樣它們就會來找你，你就知道有哪些人在用最高權限，然後視情況做處理(因為有些人可能是主管或有背景的!)，順便做紀錄以便日後......
但這招無法解決上面我說的問題~

本機的admin?還是那的admin?
聽說群組原則可以一次性更改大量PC的本機admin
但建議手動操作
一來要檢查各User有沒有很神的自動把自己的帳號變成admin群組權限(有的話你改了一樣沒用)

你說的應該是本機的吧

是要改Client本機Administrator的密碼嗎？
如果是的話...試試寫個BAT檔
net user administrator password

然後存檔把這個BAT檔轉成MSI檔用AD去派送。

不了解你的意思?? 不知如何修改網域admin的密碼? 請至DC主機操作或是遠端桌面操作也行，前提是你需要知道Admin的密碼..
建議直接在主機操作，先進入到終端機管理介面把所有連到此主機的使用者全部斷線，當然一勞永逸的方法是先把主機網路線給拔掉，這樣就可以確保不會有人在你修改密碼時還在此主機內登入並再次修改你的密碼(如果對方在你修改密碼前遠端登入又在你修改密碼後未登出其權限還是可以把你的密碼改掉的)不知版大的意思是否是如此??

1.如果你知道現在的網域的administrator密碼是什麼,就直接改掉吧.
2.如果你不知道網域的administrator密碼是什麼,但是可以碰的到主機,就可以改掉密碼.
請參考 http://hi.baidu.com/davidw3000/blog/item/dbf3ef107bec3b06213f2e53.html

domain的admin密碼可以改
但是你要確認一下各種服務的啟動帳號密碼有沒有是該帳號的
不然有可能啟動失敗

最大的問題是.
你要先找到綁這個帳號的服務與相關功能.
不然改完密碼後.當初用這帳號建的程式服務。因為密碼驗證錯，而不能使用.
到時全公司會雞飛狗跳.被影響到的人都會來怪改密碼的人.

好處是.了解公司有那些系統上手會很快.因為掛掉的都會來找你.

若你不能擔下改密碼後系統出問題的風險，也覺得自己沒技術解決.
建議你別輕易地改.

用domain administrator登入DC -> ctrl +alt +del ->更改密碼.
or
開啟 AD管理工具的使用者與群組.找到administrator ->更改密碼.

步驟一：不管是遠登桌面或直接登入DC主機，先以管理者帳戶登入
步驟二：進控制台==>系統管理工具==>Active Directory 使用者及電腦
步驟二：找到管理者帳戶名(如果未改的話預設是Administrator)
步驟二：對著該管理者帳戶右鍵==>修改密碼即可

ps：你需要額外注意
如果管理者群組中有其它管理者
請確定是否要一併修改密碼或停用
不然你只有改administrator帳戶的密碼
但未改其它管理者帳戶的話，等於沒改