Saltar al contenido
Inicio / Directivas de Grupo / GPO: Cambio de Contraseñas y Gestión de Usuarios Locales

GPO: Cambio de Contraseñas y Gestión de Usuarios Locales

Seguramente en más de una ocasión os habrán asigando la tarea de cambiar la contraseña del administrador local de los equipos del dominio. En versiones anteriores a Windows Server 2008 como DC, no teníamos la posibilidad de crear una GPO para establecer la nueva contraseña a distintos usuarios locales de los equiops del dominio. Por lo menos de forma “nativa”, pero si con distintas utilidades como PsPasswd v1.23, nos permite cambiar la contraseña de forma remota y/o local mediante una línea de comandos.Con PsPasswd v1.23, podíamos crear un pequeño script (BAT), crear una tarea programada y cuando finalice la tarea programada se habrá completado el proceso. Este proceso tiene un problema importante, si el equipo no se encontraba iniciado mientras se ejecutaba el script claramente no se procesaba el cambio de contraseña. También podíamos crear el script,  crear una GPO para configura el script para que se ejecutase cuando el equipo se iniciase. Esta opción sería la más fiable para asegurarnos de que se cambiará la contraseña en cuanto se inicie el equipo.

Cambiar_Contraseña_Remotamente_2.jpg
Sintasix

usage: pspasswd [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] Username [NewPassword]
computer Perform the command on the remote computer or computers specified. If you omit the computer name the command runs on the local system, and if you specify a wildcard (\\*), the command runs on all computers in the current domain.
@file Run the command on each computer listed in the text file specified.
-u Specifies optional user name for login to remote computer.
-p Specifies optional password for user name. If you omit this you will be prompted to enter a hidden password.
Username Specifies name of account for password change.
NewPassword New password. If ommitted a NULL password is applied
Como vemos este proceso tiene algunas lagunas, además de ser un proceso bastante manual. Desde Windows Server 2008 este proceso podemos hacerlo mediante una GPO de forma transparente y sencilla. Veamos la configuración de la GPO, editamos una directiva y vamos a Configuración del equipo – Preferencias – Configuración del Panel de Control – Usuarios y Grupos Locales- Usuario Local
Cambiar_Contraseña_Remotamente_3.jpg
ahora seleccionamos el usuario al cual le queremos realizar alguna modiciación (cambiar contraseña, habilitar, deshabilitar, forzar cambio de contraseña),  en nuestro caso vamos a establecer la nueva contraseña del administrador local:
Cambiar_Contraseña_Remotamente_4.jpg
Cambiar_Contraseña_Remotamente_5.jpg
una vez establecida nos avisa de que la contraseña será almacenada en la carpeta SYSVOL y “poco clara” (desde luego la traducción se las trae)
Cambiar_Contraseña_Remotamente_6.jpg
ahora configuraremos que solo se aplique una vez para que no se vuelva a procesar la directiva en cada  actualización o inicio del equipo
Cambiar_Contraseña_Remotamente_7.jpg
Ahora asignamos la GPO a la OU de los equipos en donde queremos que se ejecute el cambio del la contraseña del administrador local
Cambiar_Contraseña_Remotamente_8.jpg
Ahora tocaría esperar  que se actualice la directiva de grupo en los equipos y hemos finalizado. Pero si esta GPO la ejecutamos desde Windows Server 2012 y los clientes Windows 8 podemos forzar la aplicación de la misma desde el propio DC desde la consola de directivas de grupo (GPMC)
Cambiar_Contraseña_Remotamente_9.jpg
Cambiar_Contraseña_Remotamente_10.jpg
Además podemos ver gráficamente a que equipos se ha aplicado la directiva o no, en nuestro caso uno de los equipos lo teníamos apagado
Cambiar_Contraseña_Remotamente_11.jpg
Esta directiva no solo sirve para cambiar la contraseña a los usarios ya existentes, sino que también nos permite crear o eliminar usuarios locales, añadir o quitar usuarios a grupos locales … vamos a ver comom podemos realizar estas configuaciones:
Crear un usuario local
Cambiar_Contraseña_Remotamente_16.jpg
Por defecto el usuario se crea como un usuario limitado, ahora si queremos añadirlo a administrador local podemos hacerlo en la misma directiva con la opción de Grupo Local, pero como no es un usuario del dominio debéis escribir el nombre del usuario porque no podemos buscarlo en el Directorio Activo

Cambiar_Contraseña_Remotamente_17.jpg

ahora vamos a ordenar las reglas de creación de usuario primero y luego la de añadir el usuario al grupo local después, para ello pulsamos sobre la directiva que queremos cambiar de ubicación y seleccionamos subir hasta que esté por encima de la opción de añadirlo al grupo local

Cambiar_Contraseña_Remotamente_18.jpg

una vez que se ha actualizado como vemos ya se ha creado el usuario local y se ha añadido al grupo de Administradores Locales

Cambiar_Contraseña_Remotamente_19.jpg
Añadir usuarios o grupos de dominio (o locales) a grupos locales de los equipos
Cambiar_Contraseña_Remotamente_12.jpg
Hemos seleccionado el grupo Administradores (integrados) y en la acción Agregar a este grupo
Cambiar_Contraseña_Remotamente_13.jpg
seleccionamos el usuario o grupo del dominio que queremos añadir al grupo de Administradores locales del equipo
Cambiar_Contraseña_Remotamente_14.jpg
Cambiar_Contraseña_Remotamente_15.jpg
Espero que os sea de utilidad!!!

8 comentarios en «GPO: Cambio de Contraseñas y Gestión de Usuarios Locales»

  1. Hola Pedro:

    Esto se puede hacer desde Windows XP SP2 en adelante, no deberías tener problemas. Lo que sí deberías tener instalado son las extensiones de directivas en los clientes, pero si tiene el SP3 deberías tenerlo ya listo

    Un saludo

  2. Gracias por la ayuda. Tuve que instalar el parche KB943729 y de esa manera funciono correctamente la política.
    Saludos y nuevamente gracias.

  3. Quiero hacer algo parecido

    Quiero eliminar los usuarios locales con perfiles de administrador. O ver la forma de listar los usuarios locales de las máquinas del dominio para eliminarlos. O de ultima deshabilitarlos. Desde ya muchas gracias!

  4. Hola Carlos:

    Pues fuerza a añadir a los administradores al grupo local de los equipos de administradores quitando el resto de usuarios. Para ello tienes en las directivas la opción de quitar a los usuarios del grupo que estás gestionando. De tal forma dices que quite todos los usuarios que tenga el grupo de administradores locales y añades los que tú quieras. Puedes crearte un usuario admin local fuera del administrador predeterminado y añadirlo al grupo de administradores locales y el resto que los quite del grupo de administradores

    Un saludo

  5. Problema al guardar contraseña de administrador integrado

    Hola!

    Tengo un problema :s

    Cuando agrego mi nuevo usuario local y hago todos los pasos, no me salta el recuadro de “Esta contraseña se almacena como parte del GPO…” Y supuse que los cambios se guardaron sin problema pero no funciono el cambio… no me establecio la nueva contraseña para los administradores locales y no solo tengo ese problema, tambien, cuando asignamo la GPO a la OU me aparece como ya “habilitado” pero el cambio sigue sin funcionar.

    Me urge un poco cambiar la contraseña de 100 equipos ¿ Alguien me podria ayudar?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!