Freigeben über


Como automatizar el cambio de password de la cuenta local administrador en maquinas pertenecientes al dominio

 

Una de las preocupaciones de los responsables de seguridad es mantener bajo control las passwords de los usuarios locales en las computadoras unidas al dominio. Digamos que por definición en una computadora que se encuentra administrada centralizadamente, no debiera haber ningún usuario local mas allá de los usuarios built-in. El tener usuarios locales complica y enrarece el control de las cuentas. Con lo cual la única cuenta que debiera estar disponible es la cuenta local de administrador, manteniendo la cuenta invitado deshabilitada.

Pueden verse los usuarios locales de un equipo ejecutando el comando:

C:\>net user

Ademas de mantener controlada la cantidad de usuarios locales, también es necesario mantener controlada la password de (en este caso) nuestro único usuario o sea administrador. Si la cantidad de computadoras se grande la tarea puede volverse compleja.

Es aquí donde Group Policies de Active Directory puede darnos una gran mano.

Vamos a ver entonces una manera sencilla de cambiar la password de administrador local de todos los Windows XP pertenecientes al dominio . Cabe aclarar que este cambio se realizara cada vez que el equipo se iniciado.

EL procedimiento se basa en la generación de un bat que es el que efectivamente cambia el password.

Luego se realiza una GPO de startup donde se le pasa la password al script

Y finalmente, haremos un filtro WMI para detectar que las maquinas objeto de la GPO sean Windows XP.

Manos a la obra.

1)
@echo off
net user administrador %1

Nota: %1 actua como variable y será reemplazada por el modificador que acompañe al archivo .bat, el modificador sera la password deseada.
Guardamos el bat en disco.

2)
Ir a Computer Configuration / Windows Settings / Scripts (Startup/Shutdown) y doble click en Startup.
Click en Show Files, se abrira un explorador de archivos apuntando a la carpeta Startup de
esa GPO.
Ir a la carpeta donde reside el bat recién creado copiarlo y volver a la carpeta Startup.
Pegar el bat.
Nota: es importantísimo para que el script se ejecute que éste esté ubicado en la carpeta
Startup


Cerramos el explorardor, hacemos click en Add y elegimos el bat.

En Script Parameter, introducimos la password deseada. Esta Password será la que poseera el administrator local de los equipos afectados por esta GPO. Este será el lugar a editar cada vez que se necesite cambiar la password.

OK dos veces para cerrar las dos pantallas abiertas.

3)
Para poder detectar a que sistema operativo aplicar la política independientemente de la ubicacion del objeto computadora en el Active Directory es necesario crear y enlazar un filtro WMI.

Le ponemos un nombre, una descripción , hacer click en Add e introducir el query, en este ejemplo el query seria:
SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE '%Windows XP%'

OK y Save para cerrar las pantallas. Arrastramos el filtro con el mouse hasta la GPO para enlazar el filtro. Tambien puede usarse el combo box en el panel de detalles de la política.
Respondemos Yes a la advertencia.

4)

Cabe destacar que al ser un script de startup, el password cambiara cada vez que la pc sea reiniciada. Y Esta pensada para Sistemas clientes en español. En el caso de hacerla para Inlges el bat deberá tener la palabra administrator en lugar de administrador y para hacerla dual además debería agregarse en el query el objeto OSLanguage además de Caption y preguntar por el idioma según la siguiente tabla:

https://www.microsoft.com/globaldev/reference/lcid-all.mspx

Comments

  • Anonymous
    September 18, 2007
    Alejandro, te comento que segui los pasos descriptos y no obtuve resultados. Poseo un 2003 Server RC2 y estoy coorriendo un Virtual pc con windows xp en un estacion de trabajo para realizar las pruebas. Jorge: Fijate que el script que cambia la password este en la carpeta startup de la GPO que creaste. Ademas proba primero sin el filtro WMI para ver donde esta el error. Suerte Alejandro

  • Anonymous
    September 19, 2007
    Alejandro, como estas? te comento que segui los pasos que me indicaste y no pude hacerlo funcionar. La unica diferencia con el script es que reemplazamos el user administrador por supervisor. Este se ecnuentra como unico usuario administrador en las terminales, luego se manejan solo usuarios del dominio. Saludos. jorge.

  • Anonymous
    September 21, 2007
    Jorge, el script de startup está corriendo? Para verificarlo de forma simple podés agregar una línea que genere un pequeño log y ver si le está pegando correctamente la policy. Saludos AC

  • Anonymous
    September 27, 2007
    Alejandro, muy bueno el informe. ¿Sabés cómo puedo hacer lo mismo, pero para modificar el nombre de usuario administrador? Gracias. Saludos.

  • Anonymous
    April 07, 2008
    hola bueno queria saber por no se puede cambiar la contraseña de mi msn carga pero nunca termina de cargar esto seguira asi o lo solusionaran

  • Anonymous
    May 10, 2008
    Alex renombrar el usuario administrator esta en la GPO

  • Anonymous
    June 03, 2008
    Buenas Ponkie e probado tal y como explicas y no me funciona de hecho ya hay varios temas sobre esto en el Foro de Microsoft y nada.. me gustaria  que me corrijas si me estoy pasando algo por alto gracias por todo mi maile s Saul.harmFul@gmail.com

  • Anonymous
    July 10, 2008
    Hola, requiero tu apoyo, he seguido las indicaciones una a una pero no se actualizan los equipos con el nuevo password. Una cosa mas, si no le defino el SO se aplicará a cuelaquier sistema?

  • Anonymous
    November 12, 2008
    Muy bueno me funcionó excelente. Tengo una pregunta, cómo se modificaría el script para windows vista? Muchas Gracias.

  • Anonymous
    January 13, 2009
    para cabiar el password administrador a varios equipos a la vez

  • Anonymous
    June 02, 2009
    Alejandro, eh probado esto al igual que esta aqui en la pag y no obtuve resultado, seguramente algo estare omitiendo, me podrias dar una mano ¿? te dejo mi mail kissero@argentina.com

  • Anonymous
    January 25, 2010
    Hola. te cuento que el proceso funciona, siempre y cuando no este activo el Firewall de windows.

  • Anonymous
    December 29, 2010
    Hola. Yo no consigo que me cambie la pass de adm.local.... alguna idea? He puesto el script y quitado el filtro WMI pq kiero q se aplike a todos los pc y desactivado el firewall y aun asi no observo cambio alguno....

  • Anonymous
    September 13, 2011
    The comment has been removed

  • Anonymous
    August 10, 2015
    The comment has been removed