WinServer 2019 AD 组策略 启用本地管理员账号，重置密码_ad域统一设置用户本地管理员用户名密码

一、前言：

我们知道window10装好后，默认本地管理员账号Administrator是关闭的，通过组策略启用本地管理员账号没有问题，具体方法在下面，但是由于微软《MS14-025：组策略首选项中的漏洞可能允许特权提升：2014 年 5 月 13 日 - Microsoft 支持》中组策略漏洞的公告后，通过组策略修改密码就不能用了。

本例演示利用脚本（启动/关机）来实现这个功能，但是受网络环境影响，不一定会生效。这里我推荐另一个解决方案 LAPS，AD 域环镜 本地管理员密码解决方案（LAPS）部署_tom.ma的博客-CSDN博客

1、启用本地管理员账号

计算机策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 → 账户：管理员账户状态

2、修改密码和确认密码功能变成灰色，不能使用 

二、下面演示如何利用脚本（启动/关机）来实现这个功能。

1、创建GPO

2、 打开 Show Files 文件夹

计算机配置 → 策略 → Windows设置 → 脚本（启动/关机）

3、在Show Files 文件夹中创建脚本文件 ModifyPassword.ps1

# 修改密码为
Set-LocalUser -Name "administrator" -Password (ConvertTo-SecureString "Sbi@1234" -AsPlainText -Force)

4、把脚本添中进来

5、我们允许本地跟远程脚本运行

计算机配置 → 策略 → 管理模版 → Windows组件 → Windows PowerShell

6、客户机刷新组策略重启，查看日志

三、关于组策略刷新时间

1、默认情况下，计算机组策略每90分钟在后台更新一次，随机偏移量为0 ~ 30分钟。

2、默认情况下，后台自动刷新是启用的

 3、默认情况下，脚本是登陆5分钟后才执行