[Çözüldü] GPO ile Local Admin oluşturma

Bulduğum bir örnek var;

http://blog.korteksolutions.com/how-to-create-local-accounts-via-group-policy/

Fakat ben policy i uygulamak istediğimde Passwords alanları pasif olarak geliyor.  Bu konuda bilginiz var mı ? Bu şekilde Local Admin oluşturmayı sağlıklı buluyor musunuz ?

Murat bey,  

Tam olarak istediğim kaynağı paylaştınız teşekkür ediyorum. Fakat ben bu yapılandırmaya girdiğim zaman Passwords alanı pasif geliyor bu konuda bilgi sahibimisiniz ? 

@andackartal logon script ile açılışta o kullanıcı oluşturup Administrators grubuna ekleyebilirsiniz

net user /add [*username] [password]
net localgroup administrators [username] /add

@vasviuysal Merhaba, bunu nasıl uygulayacağımı bilmiyorum bir kaynak var mı ? 

@andackartal

 https://youtu.be/u9o1nmxB4oE  
bu videoda anlatmış. 
Sadece script içeriğini @vasviuysal Bey'in
ilettiği scripti kullanmanız gerekmekte.

@GokhanYilmaz Harika! çok teşekkür ederim. 

Gönderen: @andackartal

Murat bey,  

Tam olarak istediğim kaynağı paylaştınız teşekkür ediyorum. Fakat ben bu yapılandırmaya girdiğim zaman Passwords alanı pasif geliyor bu konuda bilgi sahibimisiniz ? 

 

Bu alanın gri olmasının sebebi güvenlik nedenleri ile Microsoft' un kapatması. Yani var olan bir özellikti ancak kötüye veya yanlış kullanım gibi nedenlerden dolayı artık bu özellik çalışmıyor.

https://msrc-blog.microsoft.com/2014/05/13/ms14-025-an-update-for-group-policy-preferences/

Ek çözüm önerisi

https://support.microsoft.com/en-us/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

@vasviuysal Vasvi bey,  Logon Script ile,  Local Admin şifresini değiştirebileceğim bir script önerebilir msiiniz ?

Aşağıda ki kodu GPO/Logon Script üzerinden clientlara dağıtmaya çalıştım ama işe yaramadı.

strComputer = "MyComputer"
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "testpassword"
objUser.SetInfo

https://www.activexperts.com/admin/vbscript-collection/usersgroups/localusers/

muhtemelen komutu hatalı uyguluyorsunuz. Satırları anlamaya çalışırsanız yapmak istediğinize uygun değerleri anlayacaksınız.

@andackartal

LAPS neden kullanmıyorsun? 

https://sozluk.cozumpark.com/local-administrator-password-solution-laps

@ibrahimyildiz Merhaba,

GPO üzerinde oluşturduğum LogonScript aşağıda ki gibidir;

strComputer = ""
Set objUser = GetObject("WinNT://" & strComputer & "/TestAdmin, user")
objUser.SetPassword "NewPass."
objUser.SetInfo

Sizin düzeltilmesini düşündüğünüz bir alan var mı ? 

@Hakan hocam,   Schema Admin yetkisi Domain Admin hesabımda yok,  bağlı bulunduğum Group IT' den talep ettim. Onaylanırsa LAPS kullanacağım. 

Ama bu doğru olmaz çünkü şifreyi görürler yani sakın bu yöntem ile şifre değiştirme.

@hakanuzuner tamam LAPS ' de ısrarcı olucam. Okuduğum makalalerde de en doğru yöntem bu. 

Aynen, kolaylıklar.

Gönderen: @andackartal

@ibrahimyildiz Merhaba,

 

GPO üzerinde oluşturduğum LogonScript aşağıda ki gibidir;

strComputer = ""
Set objUser = GetObject("WinNT://" & strComputer & "/TestAdmin, user")
objUser.SetPassword "NewPass."
objUser.SetInfo

 

Sizin düzeltilmesini düşündüğünüz bir alan var mı ? 

 

@Hakan hocam,   Schema Admin yetkisi Domain Admin hesabımda yok,  bağlı bulunduğum Group IT' den talep ettim. Onaylanırsa LAPS kullanacağım. 

üzerinden çok zaman geçmiş ama bu şekilde batch içerisindeparola zaten görülebiliyor olacak.