Cambiar password de administrador local de clientes xp

Mencionado en el Foro Microsoft por Pablo Caceres

Ctrl+C Ctrl+V de la web

Una de las preocupaciones de los responsables de seguridad es mantener bajo control las passwords de los usuarios locales en las computadoras unidas al dominio. Digamos que por definición en una computadora que se encuentra administrada centralizadamente, no debiera haber ningún usuario local mas allá de los usuarios built-in. El tener usuarios locales complica y enrarece el control de las cuentas. Con lo cual la única cuenta que debiera estar disponible es la cuenta local de administrador, manteniendo la cuenta invitado deshabilitada.

Pueden verse los usuarios locales de un equipo ejecutando el comando:

C:\>net user

Ademas de mantener controlada la cantidad de usuarios locales, también es necesario mantener controlada la password de (en este caso) nuestro único usuario o sea administrador. Si la cantidad de computadoras se grande la tarea puede volverse compleja.

Es aquí donde Group Policies de Active Directory puede darnos una gran mano.

Vamos a ver entonces una manera sencilla de cambiar la password de administrador local de todos los Windows XP pertenecientes al dominio . Cabe aclarar que este cambio se realizara cada vez que el equipo se iniciado.

EL procedimiento se basa en la generación de un bat que es el que efectivamente cambia el password.

Luego se realiza una GPO de startup donde se le pasa la password al script

Y finalmente, haremos un filtro WMI para detectar que las maquinas objeto de la GPO sean Windows XP.

Manos a la obra.

1)
@echo off
net user administrador %1

Nota: %1 actua como variable y será reemplazada por el modificador que acompañe al archivo .bat, el modificador sera la password deseada.
Guardamos el bat en disco.

2)
Ir a Computer Configuration / Windows Settings / Scripts (Startup/Shutdown) y doble click en Startup.
Click en Show Files, se abrira un explorador de archivos apuntando a la carpeta Startup de
esa GPO.
Ir a la carpeta donde reside el bat recién creado copiarlo y volver a la carpeta Startup.
Pegar el bat.
Nota: es importantísimo para que el script se ejecute que éste esté ubicado en la carpeta
Startup


Cerramos el explorardor, hacemos click en Add y elegimos el bat.

En Script Parameter, introducimos la password deseada. Esta Password será la que poseera el administrator local de los equipos afectados por esta GPO. Este será el lugar a editar cada vez que se necesite cambiar la password.

OK dos veces para cerrar las dos pantallas abiertas.

3)
Para poder detectar a que sistema operativo aplicar la política independientemente de la ubicacion del objeto computadora en el Active Directory es necesario crear y enlazar un filtro WMI.

Le ponemos un nombre, una descripción , hacer click en Add e introducir el query, en este ejemplo el query seria:
SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE ‘%Windows XP%’

OK y Save para cerrar las pantallas. Arrastramos el filtro con el mouse hasta la GPO para enlazar el filtro. Tambien puede usarse el combo box en el panel de detalles de la política.
Respondemos Yes a la advertencia.

4)

Cabe destacar que al ser un script de startup, el password cambiara cada vez que la pc sea reiniciada. Y Esta pensada para Sistemas clientes en español. En el caso de hacerla para Inlges el bat deberá tener la palabra administrator en lugar de administrador y para hacerla dual además debería agregarse en el query el objeto OSLanguage además de Caption y preguntar por el idioma según la siguiente tabla:

http://www.microsoft.com/globaldev/reference/lcid-all.mspx

9 respuesta a “Cambiar password de administrador local de clientes xp”

  1. Muchisimas gracias!!! , este aporte me ayudo bastante con un Dominio que tengo que administrar. Te lo agradezco mucho y se ve que conoces bastante!!!

    hasta pronto y de vez en vez voy a pasar por aquí para ver tus nuevos aportes.

    hasta pronto.

  2. que pasa con los equipos que tienen windows vista y windows 7 como se cambian todos los sistemas o necesito una politica para cada sistema operativo

  3. El artículo está bien explicado y funciona correctamente. Pero ahora necesito cambiar la contraseñas administrador para clientes con Windows 7 y con servidor Windows 20o3 server R2.
    Usted sabe como es?

  4. (1)
    -Pues para windows 7 o vista, supongo que seran los mismos pasos, creando otra directiva llamada cambio de password local 7/vista (para diferenciarla)
    -Le metes otro script en inicio (startup)
    -Y creando un nuevo filtro wmi:
    SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE ‘%Windows 7%’
    SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE ‘%Windows vista%’
    -En mi caso, en windows 7 he tenido que activar las cuentas de administrador con(ya que predeterminadamente me venian desactivadas):
    net user Administrador /active:yes
    net user Administrador %1

    (2)
    -Pero si en tu caso tienes activadas las cuentas de administrador en windows 7 y crees que puedes utilizar el mismo comando para todos los sistemas operativos.
    Simplemente creas una directiva comun, y luego en el filtro wmi le pones:
    SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE ‘%Windows vista%’
    SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE ‘%Windows 7%’
    SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE ‘%Windows XP%’
    (En una misma consulta)

    – y te ahorras hacer una directiva para cada sistema, igual tambien se podria acortar la consulta con:
    SELECT * FROM Win32_OperatingSystem

    ———–
    Espero que les sirva de algo, Saludos.

  5. hice todo lo descrito y no cambia la contraseña, mi pregunta es que si al iniciar sesion con dominio el pc, me toma es la contraseña anterior

    gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *