Lo difícil se hace, lo imposible se intenta
A quien no le ha pasado que alguna vez ha olvidado el password de administrador de una máquina… siempre es un gran problema, ya que la solución a priori es reiniciar todo… aquí dejo un entrada de Petri, donde da varias alternativas para conseguir solventar este problema:
https://www.petri.co.il/forgot_administrator_password.htm
Información obtenida del foro de Microsoft, gracias a Ignacio Blázquez link…
Hace tiempo que voy detrás de virtualizar los 3 servidores de mi trabajo en 1 solo, evidentemente eso pasa por hacer pruebas de rendimiento y de estabilidad.
Tengo un ordenador Quad con 2Gb de ram en el que he instalado Fedora 9 x64, he probado la virtualización con KVM y tengo que decir que es increíblemente rápido,la instalación es trivial, ya que hay una tool propia de Fedora que gestiona las maquinas virtuales.
Las primeras pruebas han sido montar un Servidor 2003, montar un cliente XP y entrarlo en dominio, todo ha ido de maravilla!!! el problema es que KVM parece rápido, pero a primera impresión parece poco parametrizable, a día de hoy y sin mucho indagar… pero cumple las expectativas con creces.
Ya iré explicando, a ver como soluciono problemas como la virtualización de puertos Com1 para los programas de envío de fax, o para el servidor que tiene una llave de seguridad en el Com1 para arrancar la aplicación de gestión… o parece que el Nat que hace no me deja pasar las peticiones de DNS, pero son aspectos que iré comentando posteriormente.
Después de investigar un poco he visto que este común problema tiene una sencilla solución.
El problema reside en las DNS, aquel extraño que muchos no configuran en el servidor 2003 y que tantos problemas les dan (…Y ellos sin saberlo…)
Primero de todo vamos a revisar un poco la lógica de todo esto, si visualizamos el cliente XP debe hacer las peticiones DNS al servidor 2003, este resolverá la petición siempre que sea de ámbito local y si no puede resolverlas, por ejemplo el caso de www.google.es (…a no ser que trabaje en google, con lo que sería absurdo que tengáis este problema…) retomando, si la petición www.google.es la debe enviar a los servidores DNS de nuestro ISP para que este los resuelva y nos devuelva la IP deseada, nuestro servidor la almacenará en cache y se la pasará al cliente que hizo la petición, si algún cliente más quiere hacer esa petición de DNS, no recorrerá el mismo camino ya que la tendrá almacenada en caché, simplemente se la servirá.
Como hacemos esto, bueno, la parte más sencilla tenemos que poner como DNS en nuestros clientes UNICAMENTE la IP de nuestro servidor de dominio, preferentemente recomiendo que uséis DHCP.
En el servidor:
Poner como DNS en la tarjeta de red la IP del servidor, NO 127.0.0.1 sino la IP que tengais puesta.
En el servidor DNS, miramos las propiedades de nuestro servidor y en la pestaña de reenviadores, añadimos las IP’s de los servidores DNS de nuestro ISP.
Abrimos una consola de comando Inicio–> ejecutar –> cmd , allí picaremos ipconfig /registerdns
Volvemos al servidor DNS, nos vamos a la carpeta de búsqueda inversa, y añadimos una nueva zona:
Que hemos conseguido con esto SOLO utilizar nuestro servidor DNS, ¡¡¡importante!!!, registrar la entrada de nuestro servidor en el dns, para que cuando se hagan las peticiones sobre el nombre de la maquina, sepa que IP devolver, la resolución inversa, es para que cuando nos pidan el nombre a partir de la IP, sepamos que darle y los reenviadores, para solventar las peticiones que no están en nuestra mano…
Problemas que tenia yo, pues que si la empresa se llamaba pepitogrillo, el dominio que yo les ponía era pepitogrillo.com y cuando alguien quería ir a ver la web de la empresa www.pepitogrillo.com , desde dentro de la empresa, al escribir la url, resolvía la IP del servidor local y no la del ISP donde esta la web, con lo que no llegaba a buen puerto…. solución, para quien tenga que montar un servidor de cero, ponerle pepitogrillo.local, para quien tenga este mismo problema… solución añadir manualmente una entrada «www» en la búsqueda directa del DNS con la IP del servidor ISP donde esta albergada la web, para que cuando alguien haga una petición sobre www.pepitogrillo.com hasta el pepitogrillo.com le redirigirá al servidor, pero el www lo disparará al ISP.
Bueno, espero que sirva para alguien 😉
Mencionado en el Foro Microsoft por Pablo Caceres
Ctrl+C Ctrl+V de la web
Una de las preocupaciones de los responsables de seguridad es mantener bajo control las passwords de los usuarios locales en las computadoras unidas al dominio. Digamos que por definición en una computadora que se encuentra administrada centralizadamente, no debiera haber ningún usuario local mas allá de los usuarios built-in. El tener usuarios locales complica y enrarece el control de las cuentas. Con lo cual la única cuenta que debiera estar disponible es la cuenta local de administrador, manteniendo la cuenta invitado deshabilitada.
Pueden verse los usuarios locales de un equipo ejecutando el comando:
C:\>net user
Ademas de mantener controlada la cantidad de usuarios locales, también es necesario mantener controlada la password de (en este caso) nuestro único usuario o sea administrador. Si la cantidad de computadoras se grande la tarea puede volverse compleja.
Es aquí donde Group Policies de Active Directory puede darnos una gran mano.
Vamos a ver entonces una manera sencilla de cambiar la password de administrador local de todos los Windows XP pertenecientes al dominio . Cabe aclarar que este cambio se realizara cada vez que el equipo se iniciado.
EL procedimiento se basa en la generación de un bat que es el que efectivamente cambia el password.
Luego se realiza una GPO de startup donde se le pasa la password al script
Y finalmente, haremos un filtro WMI para detectar que las maquinas objeto de la GPO sean Windows XP.
Manos a la obra.
1)
@echo off
net user administrador %1
Nota: %1 actua como variable y será reemplazada por el modificador que acompañe al archivo .bat, el modificador sera la password deseada.
Guardamos el bat en disco.
2)
Ir a Computer Configuration / Windows Settings / Scripts (Startup/Shutdown) y doble click en Startup.
Click en Show Files, se abrira un explorador de archivos apuntando a la carpeta Startup de
esa GPO.
Ir a la carpeta donde reside el bat recién creado copiarlo y volver a la carpeta Startup.
Pegar el bat.
Nota: es importantísimo para que el script se ejecute que éste esté ubicado en la carpeta
Startup
Cerramos el explorardor, hacemos click en Add y elegimos el bat.
En Script Parameter, introducimos la password deseada. Esta Password será la que poseera el administrator local de los equipos afectados por esta GPO. Este será el lugar a editar cada vez que se necesite cambiar la password.
OK dos veces para cerrar las dos pantallas abiertas.
3)
Para poder detectar a que sistema operativo aplicar la política independientemente de la ubicacion del objeto computadora en el Active Directory es necesario crear y enlazar un filtro WMI.
Le ponemos un nombre, una descripción , hacer click en Add e introducir el query, en este ejemplo el query seria:
SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE ‘%Windows XP%’
OK y Save para cerrar las pantallas. Arrastramos el filtro con el mouse hasta la GPO para enlazar el filtro. Tambien puede usarse el combo box en el panel de detalles de la política.
Respondemos Yes a la advertencia.
4)
Cabe destacar que al ser un script de startup, el password cambiara cada vez que la pc sea reiniciada. Y Esta pensada para Sistemas clientes en español. En el caso de hacerla para Inlges el bat deberá tener la palabra administrator en lugar de administrador y para hacerla dual además debería agregarse en el query el objeto OSLanguage además de Caption y preguntar por el idioma según la siguiente tabla: