Como automatizar el cambio de password de la cuenta local administrador en maquinas pertenecientes al dominio


 

Una de las preocupaciones de los responsables de seguridad es mantener bajo control las passwords de los usuarios locales en las computadoras unidas al dominio. Digamos que por definición en una computadora que se encuentra administrada centralizadamente, no debiera haber ningún usuario local mas allá de los usuarios built-in. El tener usuarios locales complica y enrarece el control de las cuentas. Con lo cual la única cuenta que debiera estar disponible es la cuenta local de administrador, manteniendo la cuenta invitado deshabilitada.

Pueden verse los usuarios locales de un equipo ejecutando el comando:

C:\>net user

Ademas de mantener controlada la cantidad de usuarios locales, también es necesario mantener controlada la password de (en este caso) nuestro único usuario o sea administrador. Si la cantidad de computadoras se grande la tarea puede volverse compleja.

Es aquí donde Group Policies de Active Directory puede darnos una gran mano.

Vamos a ver entonces una manera sencilla de cambiar la password de administrador local de todos los Windows XP pertenecientes al dominio . Cabe aclarar que este cambio se realizara cada vez que el equipo se iniciado.

EL procedimiento se basa en la generación de un bat que es el que efectivamente cambia el password.

Luego se realiza una GPO de startup donde se le pasa la password al script

Y finalmente, haremos un filtro WMI para detectar que las maquinas objeto de la GPO sean Windows XP.

Manos a la obra.

1)
@echo off
net user administrador %1

Nota: %1 actua como variable y será reemplazada por el modificador que acompañe al archivo .bat, el modificador sera la password deseada.
Guardamos el bat en disco.

2)
Ir a Computer Configuration / Windows Settings / Scripts (Startup/Shutdown) y doble click en Startup.
Click en Show Files, se abrira un explorador de archivos apuntando a la carpeta Startup de
esa GPO.
Ir a la carpeta donde reside el bat recién creado copiarlo y volver a la carpeta Startup.
Pegar el bat.
Nota: es importantísimo para que el script se ejecute que éste esté ubicado en la carpeta
Startup


Cerramos el explorardor, hacemos click en Add y elegimos el bat.

En Script Parameter, introducimos la password deseada. Esta Password será la que poseera el administrator local de los equipos afectados por esta GPO. Este será el lugar a editar cada vez que se necesite cambiar la password.

OK dos veces para cerrar las dos pantallas abiertas.

3)
Para poder detectar a que sistema operativo aplicar la política independientemente de la ubicacion del objeto computadora en el Active Directory es necesario crear y enlazar un filtro WMI.

Le ponemos un nombre, una descripción , hacer click en Add e introducir el query, en este ejemplo el query seria:
SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE '%Windows XP%'

OK y Save para cerrar las pantallas. Arrastramos el filtro con el mouse hasta la GPO para enlazar el filtro. Tambien puede usarse el combo box en el panel de detalles de la política.
Respondemos Yes a la advertencia.

4)

Cabe destacar que al ser un script de startup, el password cambiara cada vez que la pc sea reiniciada. Y Esta pensada para Sistemas clientes en español. En el caso de hacerla para Inlges el bat deberá tener la palabra administrator en lugar de administrador y para hacerla dual además debería agregarse en el query el objeto OSLanguage además de Caption y preguntar por el idioma según la siguiente tabla:

http://www.microsoft.com/globaldev/reference/lcid-all.mspx


Comments (15)

  1. Gallardo Jorge says:

    Alejandro, te comento que segui los pasos descriptos y no obtuve resultados. Poseo un 2003 Server RC2 y estoy coorriendo un Virtual pc con windows xp en un estacion de trabajo para realizar las pruebas.

    Jorge: Fijate que el script que cambia la password este en la carpeta startup de la GPO que creaste. Ademas proba primero sin el filtro WMI para ver donde esta el error.

    Suerte

    Alejandro

  2. Jorge G. says:

    Alejandro, como estas? te comento que segui los pasos que me indicaste y no pude hacerlo funcionar. La unica diferencia con el script es que reemplazamos el user administrador por supervisor. Este se ecnuentra como unico usuario administrador en las terminales, luego se manejan solo usuarios del dominio.

    Saludos. jorge.

  3. ArturoMD says:

    Jorge, el script de startup está corriendo? Para verificarlo de forma simple podés agregar una línea que genere un pequeño log y ver si le está pegando correctamente la policy.

    Saludos

    AC

  4. alex says:

    Alejandro, muy bueno el informe. ¿Sabés cómo puedo hacer lo mismo, pero para modificar el nombre de usuario administrador?

    Gracias.

    Saludos.

  5. juan carlos1 says:

    hola bueno queria saber por no se puede cambiar la contraseña de mi msn carga pero nunca termina de cargar esto seguira asi o lo solusionaran

  6. Saul.Soldevila says:

    Alex renombrar el usuario administrator esta en la GPO

  7. Saul.Soldevila says:

    Buenas

    Ponkie e probado tal y como explicas y no me funciona

    de hecho ya hay varios temas sobre esto en el Foro de Microsoft y nada.. me gustaria  que me corrijas si me estoy pasando algo por alto

    gracias por todo mi maile s Saul.harmFul@gmail.com

  8. Ivan Rodriguez says:

    Hola, requiero tu apoyo, he seguido las indicaciones una a una pero no se actualizan los equipos con el nuevo password.

    Una cosa mas, si no le defino el SO se aplicará a cuelaquier sistema?

  9. Norberto says:

    Muy bueno me funcionó excelente.

    Tengo una pregunta, cómo se modificaría el script para windows vista?

    Muchas Gracias.

  10. martin says:

    para cabiar el password administrador a varios equipos a la vez

  11. Sebastian says:

    Alejandro, eh probado esto al igual que esta aqui en la pag y no obtuve resultado, seguramente algo estare omitiendo, me podrias dar una mano ¿? te dejo mi mail

    kissero@argentina.com

  12. Fabian Campo says:

    Hola. te cuento que el proceso funciona, siempre y cuando no este activo el Firewall de windows.

  13. azahara says:

    Hola. Yo no consigo que me cambie la pass de adm.local…. alguna idea?

    He puesto el script y quitado el filtro WMI pq kiero q se aplike a todos los pc y desactivado el firewall y aun asi no observo cambio alguno….

  14. lily Pacheco says:

    muyyyyyyy pobre la ayuda porque para empezar mi computadora es una mac osea que noooooooooooooo checa para nada con la informacion y las ventanas que intentan mostrar !!!  ustedes son super ineficientes !!!

     tan facil como cambiar un estuupido password !!!  ahora,  dime como cancelo esta cuenta , es muy estupida tus configuraciones y ademas , hablan o escriben demasiado en vez de ir al estupido punto, no son nada concretos , necesitaba esto urgentemente ahora, no manana o el siguiente ano !!!

    lily

  15. rruiz says:

    hayyy queeeeeeeeeeeeeeee estupida si tienes una mac para que entras a un blog de microsft, microsoft es la que hace windows, que megaa ineficiente eres pufff que pendeja

Skip to main content