域环境批量修改本地管理员密码

相信大家如果用AD的话，都碰见过一些头疼的事情，特别是AD用户的一摊子事情。

前段时间在弄全球的AD规划和部署，其中最耗时又不讨好的就是用户账号的问题了。

其中最主要的就是两件事，一个是新建用户，一个是改密码。

由于业务系统在海外上线，需要通过AD进行身份验证，使得以前仅仅只面向集团总部一部分管理层员工的AD系统，现在需要面向企业全球的所有员工提供登陆服务，从而就需要向AD中添加大量的用户账户。

另外，也有不少分公司的员工之前是有AD账号的，只不过人不在总部，偶尔回来用用。

这也导致了大量的用户密码过期。

通过人工的方式一个一个账户的添加或者改密码，显然是不可能的。

所以找了个办法，通过脚本的方式批量的导入AD账户，或者批量修改密码。

其实方法应该不少朋友都知道，就是Windows自带的几个CMD命令。

这里我就不再过多介绍这如何通过这两个命令编辑脚本来实现这个功能了，如果真有需要，大家可以Google一下，很多的。

我这里就给两个微软官方链接算了。

/kb/327620——csvde.exe，批量导入AD用户/kb/322684——dsmod.exe，修改AD账户密码这里我是想给大家分享一下如何通过Excel的函数功能来简化脚本的编写。

有人可能会问，直接用txt写也挺方便的嘛，关excel屁事。

呵呵。

试想，动不动几百上千的用户需要更改密码或者添加到AD中，就算可以用复制粘贴的方式，但是每行账户的信息都不一样，那要复制多少遍啊。

我也是开始就是用的txt写，把所有的不同的名字先copy到txt中，然后把语句相同的地方每行一个Ctrl+V，如此反复多次，我就快疯掉哒。

后来想了个办法，就是用excel的函数来解决。

嘿嘿，，它不止能做数字计算，还能做字符的加减咧。

好，附件中有我已经做好的Excel文件，下面我来详细讲讲怎么用。

首先是批量导入AD账户。

在文件的第一张表格中，绿色的区域是需要我们手动添填入信息的，主要是两个，一个是账户名，一个是OU，记得OU一定要提前新建好。

批量修改AD域用户密码解决方法：工具、脚本、PowerShelldsquery user ou=it,dc=itprocn,dc=com | dsmod user -pwd 123456 -mustchpwd yespowershell：Get-ADUser -Filter * -SearchBase "OU=it,DC=itprocn,DC=com" | Set-ADAccountPassword -Reset -NewPassword (ConvertT o-SecureString -AsPlainText "" -Force)Get-ADUser -Filter * -SearchBase "OU=it,DC=itprocn,DC=com" | Set-ADUser -ChangePasswordAtLogon $true-canchpwd {yes | no}指定用户是否可以更改其密码（yes 可以更改，no 根本不能更改）。

默认情况下，(yes)。

-pwdneverexpires {yes | no}指定用户密码是否永不过期（yes 表示是，no 表示不是）。

默认情况下，用户密码会过期 (no)。

-mustchpwd {yes | no}指定用户是否必须在下次登录时更改其密码（yes 必须更改，no 不必更改）。

默认情况下，用户不必更改密码 (no)。

-disabled {yes | no}指定是否禁用用户帐户登录（yes 禁用登录，no 允许登录）。

默认情况下，启用用户帐户登录 (no)。

-reversiblepwd {yes | no}指定是否应使用可逆加密来存储用户密码（yes 表示应该，no 表示不应该）。

默认情况下，用户不能使用可逆加密 (no)。

-acctexpires NumberOfDays指定从今天算起用户帐户将到期的天数。

在Windows Server 域控制器上，可以通过组策略（Group Policy）来实施密码修改策略。

以下是一些基本步骤和指导，帮助您设置密码策略：1. 编辑组策略对象(GPO):* 打开“组策略管理”控制台。

* 找到并选择您想要应用策略的组策略对象（GPO）。

* 右键单击并选择“编辑”。

2. 设置密码策略:* 在组策略编辑器中，导航到“计算机配置”或“用户配置”（取决于您是要为整个域控制器还是仅为用户设置策略）。

* 展开“策略”文件夹，然后展开“Windows 设置”。

* 找到并选择“账户策略”文件夹。

* 在右侧窗格中，您会看到与密码相关的设置，如“密码必须符合复杂性要求”、“密码长度最小值”、“账户锁定策略”等。

您可以根据需要设置这些值。

3. 设置密码历史和密码最长使用期限:* 在“账户策略”下，展开“账户锁定策略”。

* 选择“密码历史”并设置允许用户使用的密码历史记录数量。

这可以防止用户频繁更改密码。

* 选择“密码最长使用期限”并设置密码的最长使用期限（以天为单位）。

4. 应用和测试:* 应用您的组策略更改。

这可以通过右键单击组策略对象并选择“应用”来完成。

确保将策略应用于适当的范围（计算机或用户）。

* 测试您的更改以确保它们按预期工作。

可以创建一个测试用户帐户来测试这些更改。

5. 注意事项:* 在实施任何密码策略更改之前，请确保备份当前的组策略对象。

* 在生产环境中应用更改之前，最好在测试环境中验证更改的效果。

* 考虑实施其他安全措施，如多因素身份验证或更强的帐户锁定策略，以增强安全性。

6. 监控和日志:* 为了监控更改的效果和任何潜在问题，请查看事件查看器中的相关日志条目。

还可以监视与帐户和密码相关的活动，以识别任何可疑行为或问题。

7. 更新域控制器软件和补丁:* 保持Windows Server 域控制器更新是非常重要的，以确保系统的安全性和稳定性。

定期检查并应用最新的补丁和更新。

利用net user命令来强制修改administrator密码我们知道在Windows XP中提供了“net user”命令，该命令可以添加、修改用户账户信息，其语法格式为：net user [UserName [Password | *] [options]] [/domain]net user [UserName {Password | *} /add [options] [/domain]net user [UserName [/delete] [/domain]]每个参数的具体含义在Windows XP帮助中已做了详细的说明，在此笔者就不多阐述了。

好了，我们现在以恢复本地用户“zhangbq”口令为例，来说明解决忘记登录密码的步骤：1、重新启动计算机，在启动画面出现后马上按下F8键，选择“带命令行的安全模式”。

2、运行过程结束时，系统列出了系统超级用户“administrator”和本地用户“zhangbq”的选择菜单，鼠标单击“administrator”，进入命令行模式。

3、键入命令：“net user zhangbq 123456 /add”，强制将“zhangbq”用户的口令更改为“123456”。

若想在此添加一新用户（如：用户名为abcdef，口令为123456）的话，请键入“net user abcdef 123456 /add”，添加后可用“net localgroup administrators zhangbq /add”命令将用户提升为系统管理组“administrators”的用户，并使其具有超级权限。

4、重新启动计算机，选择正常模式下运行，就可以用更改后的口令“123456”登录“zhangbq”用户了。

二、利用“administrator”我们知道在安装Windows XP过程中，首先是以“administrator”默认登录，然后会要求创建一个新账户，以便进入Windows XP时使用此新建账户登录，而且在Windows XP的登录界面中也只会出现创建的这个用户账号，不会出现“administrator”，但实际上该“administrator”账号还是存在的，并且密码为空。

1、WindowsXP修改域密码方法：运行里输入control userpasswords2回车：
进入用户账户管理界面：
选择“高级”：
点击“管理密码”：
点击“添加”按钮：
此处在“服务器”中写入：192.168.18.18（域控制器IP），用户名输入当前用户所在域的用户名：如：sf-wh.local\xiejie，密码输入初始密码：123，点击确定，我测试时没有直接点击更改，可以试试，不确定直接更改。

输入旧密码即：123，输入新密码（自己牢记），输入两次按确定即可。

最后可以使用帐号和新密码登录SF-WH域或者文件服务器了。

2、Windws 7修改域密码方法：
按住窗口件+R，弹出运行对话框：
键入四方文件服务器IP地址，输入格式：\\192.168.18.12，此时弹出提示要求输入域帐号和密码：
用户名：名字全拼，初始密码：123，此时提示首次登录之前需要修改密码：
可以按键盘的ctrl+alt+del组合键，弹出菜单中点击“更改密码”，此时在账户中输入sf-wh.local\用户全拼，“旧密码”中输入123，重新输入个人“新密码”，点击向右箭头确定即可。

注：建议直接从域登录系统使用内部文件服务器。

例一、更改域客户机本地管理员密码1．在DC或者有权限的电脑上运行管理工具－Active Directory 用户和计算机，选定你欲操作的OU，新建一组策略，添加一条开机脚本。

2．开机脚本内容如下Changing the Local Administrator Password.vbsfile: Changing the Local Administrator Password.vbsAuthor: MicrosoftstrComputer = "."Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")objUser.SetPassword "testpassword"objUser.SetInfo3．保存组策略后，运行cmd，执行secedit /refreshpolicy MACHINE_POLICY命令立即刷新组策略。

注：1. 本例不考虑管理员口令已改名的情况2. 不考虑口令已经更改过，只要客户端重启就重置一次密码。

注意：把脚本集中存放在一个目录下，设置该目录权限，去除domain user，添加domain computer例二、统一系统内置管理员帐号的帐号名脚本如下：file: Remove User from Local Administrators Group.vbsAuthor: FinaLDate: 2004-4-19 21:46说明: 移出本地管理员组中不需要的帐号strComputer = "." //“.”代表本机ValidUsers = "administrator"//需要保留的用户名，可以指定多个Set objGroups = GetObject("WinNT://" & strComputer & "/Administrators,group")For Each objUser in objGroups.MembersIf InStr(1,ValidUsers,,1)=0 ThenobjGroups.Remove(objUser.AdsPath) //删除帐号使用computer对象的delete方法End IfNext例3清理客户端的管理员权限帐号1.先把客户端系统内置的管理员帐号统一为administrator。

如何重设电脑管理员密码重设电脑管理员密码电脑管理员密码是保护电脑安全的重要组成部分。

然而，在某些情况下，我们可能会忘记管理员密码，或者想要更改密码以提高安全性。

本文将向您介绍如何重设电脑管理员密码的几种方法。

方法一：使用密码重置磁盘1. 创建密码重置磁盘：在已知管理员密码的情况下，您可以创建一个密码重置磁盘，以防您忘记密码。

打开“控制面板”，点击“用户账户与家庭安全”，选择“用户账户”，然后点击“创建密码重置磁盘”并按照向导的指示完成创建过程。

2. 重设密码：当您忘记管理员密码时，将密码重置磁盘插入电脑中，点击“重置密码”选项，按照指示输入新的密码并确认。

方法二：使用预安装的管理员账户1. 进入安全模式：重新启动电脑，并在启动过程中按下F8键进入“高级启动选项”，选择“安全模式”并按Enter键进入安全模式。

2. 登录管理员账户：在安全模式下，将出现管理员账户。

登录该账户并打开“控制面板”。

3. 更改密码：在“控制面板”中点击“用户账户”，然后选择“更改帐户类型”或“管理其他帐户”。

选择要更改密码的账户，并点击“更改密码”选项。

按照提示输入新的密码并确认。

方法三：使用Windows安装盘1. 插入Windows安装盘：将Windows安装盘插入电脑，然后重启电脑。

2. 进入启动选项：在启动过程中按下相应的按键（如F12、Esc或Del键）进入启动选项。

3. 选择光驱作为启动设备：在启动选项中，选择光驱作为首选启动设备，并按照屏幕上的指示启动电脑。

4. 选择语言和区域设置：选择适用于您的电脑的语言和区域设置，并点击下一步。

5. 进入恢复环境：在安装画面上，点击“修复你的电脑”选项，然后选择“命令提示符”。

6. 重设密码：在命令提示符窗口中，输入以下命令并按Enter键执行：net user [用户名] [新密码]。

在方括号内，将“用户名”替换为您要重置密码的管理员账户名称，将“新密码”替换为您想要设置的新密码。

给域用户赋予本机管理员权限
2011-06-19 18:18:55| 分类：Windows | 标签：|举报|字号大中小订阅
之前对域也有所了解，知道域是网络对象的分组，其安全性要高于工作组，不是想进就能进，想退就能退的，需要经过域管理员的同意。

域用户可以使用自己的域帐号开启其它加入此域的主机，哪怕这台机子上并不存在该帐号。

一般情况下，域用户不具有本机的管理员权限，不能随意安装所需要的软件，开启所需要的服务，甚至对于本机的其它磁盘也都是只读权限。

由于域用户不同于本机用户，为域用户赋予权限也有别于本机用户。

那么，如何给域用户赋予本机的管理员权限呢？
首先，配置本机IP地址，DNS服务器为域服务器的IP地址（当然，也可以是其它DNS服务器。

这里是为了保证与域服务器在同一网段。

）：
（域服务器）
（本机）“我的电脑”→右键“属性”→“计算机名”：
点击“更改”→隶属于“域”，输入域（此域必须是已存在的，域服务器必须开启）：
接着，输入域管理员帐号和密码：
重启机子，让更改生效。

点击“选项”按钮：
此时，出现一个“登录到”选项框，这里先选择“本机”，以管理员身份登录。

“我的电脑”→右键“管理”→“计算机管理（本地）”→“系统工具”→“本地用户和组”→“组”：
双击或右键属性“Administrators”：
点击“添加”：
点击“高级”，输入域管理员帐号和密码：
点击“立即查找”，找到要赋予本机管理员权限的域用户，单击“确定”：
注销本机管理员帐号，以域用户身份登录到域：
此时的域用户就拥有了本机的管理员权限。