Achei meio esquisito, porém fui atrás para ver o que dava para fazer.
Primeiramente, qual o propósito que você quer fazer isto?
a) Transformou sua rede em Workgroup para rede Gerenciada (AD) e os Usuários que tinham a senha de administrador da máquia ainda a estao utilizando para sacanear a estação.
b) Você quer uma senha só para acessar a máquina localmente ou remotamente, diferente das de usuário restrito
Começando pela mais fácil: Opção B. A sua senha de administrador do domínio é superior a de administrador local. Então com sua senha voce consegue fazer na estação tudo o que o administrador local faria.
Não perca seu tempo, pois mudança de senha, PRINCIPALMENTE de administrador, é algo complicado, pois envolve uma gama de fatores de segurança do windows, e dificilmente dá para fazer via script (olhei vários e não achei nada), principalmente se existem arquivos criptografados por NTFS na estação.
Resumindo use sua senha de administrador de domínio ou administrador de enterprise (domain admin / enterprise admin respectivamente)
Agora para a OPÇÃO A:
Para evitar que o ABOMINÁVEL DO USUÁRIO fique sacaneando a estação só para colocar no orkut que conseguiu burlar o "faire-uó da rede to trampo" existem algumas opções para acabar com isso, sem script e sem sentar na frente das "trocentas" máquinas que voce tem em sua rede.
Para isso, proteja a conta de administrador, seguindo os procedimentos abiaxo:
Desative a conta de administrador - Esta é uma definição de política de grupo que permite que você desabilite essa conta dentro do domínio e SAMs locais do Windows XP e Windows Server 2003 computadores. A política está sob a configuração de GPO a seguir:
Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Administrator account status
Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Administrator account status
Esta configuração de diretiva pode ser visto na figura 2, e só precisa ser definido como Ativado para fazer valer a definição.
Configuração GPO que permite desativar a conta de administrador
Renomeie a conta do administrador usando GPOs - Vai ser duro para desativar todas as contas de administrador em cada computador, devido aos pedidos e outros requisitos. Nestes casos, você pode ter uma abordagem mais fácil para garantir a conta de administrador é renomeado. Você pode configurar a configuração de GPO a seguir, que pode renomear a conta de administrador em qualquer Windows 2000, XP ou Server 2003.
Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Rename Administrator account
Proiba o acesso àquele computador através da rede - . Por padrão, a conta Administrador está agrupado em todos os grupos e Authenticated Users, que dá conta a capacidade de acesso a todos os computadores da rede. Uma vez que a conta de administrador não está sendo usado para a administração de rotina, não há realmente nenhuma necessidade para a conta ter acesso a qualquer dos recursos, em qualquer servidor, através da rede. Se você configurar o seguinte User Group Policy para a conta de administrador, pode percorrer um longo caminho para reduzir a superfície de ataque que os usuários teriam na conta de administrador.
Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network
Configuração GPO que permite desativar a conta de administradorRenomeie a conta do administrador usando GPOs - Vai ser duro para desativar todas as contas de administrador em cada computador, devido aos pedidos e outros requisitos. Nestes casos, você pode ter uma abordagem mais fácil para garantir a conta de administrador é renomeado. Você pode configurar a configuração de GPO a seguir, que pode renomear a conta de administrador em qualquer Windows 2000, XP ou Server 2003.
Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Rename Administrator account
Proiba o acesso àquele computador através da rede - . Por padrão, a conta Administrador está agrupado em todos os grupos e Authenticated Users, que dá conta a capacidade de acesso a todos os computadores da rede. Uma vez que a conta de administrador não está sendo usado para a administração de rotina, não há realmente nenhuma necessidade para a conta ter acesso a qualquer dos recursos, em qualquer servidor, através da rede. Se você configurar o seguinte User Group Policy para a conta de administrador, pode percorrer um longo caminho para reduzir a superfície de ataque que os usuários teriam na conta de administrador.
Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network
Agora, para gerenciar determinado computador da rede através do console de gerencimento, acesse
INICIAR, Botão direito em MEU COMPUTADOR, e depois GERENCIAR, ou MANAGE.
Quando abrir o console vá em AÇÃO, e em seguida, CONECTAR A OUTRO COMPUTADOR. Digite o nome ou o endereço IP do computador que deseja acessar. (Só funcionará se voce estiver conectado com a senha do administrador do domínio ou administrador da Enterprise (domain ou enterprise admin)
Em seguida vá em USUÁRIOS E GRUPOS LOCAIS ou LOCAL USERS AND GROUPS e procure a conta com a qual o antigo usuário utilizava para conectar-se, e apague.
Pode apagar sem medo pois se o usuário que antes utilizava uma conta local para fazer logon, hoje usa uma conta de Active Directory, e o banco de dados fica guardado no servidor.
Apenas certifique-se que voce realmente conectou-se na estação antes de sair apagando conta, pois existem contas locais do Windows 2003 que se apagadas, ferram toda sua rede.
Nenhum comentário:
Postar um comentário