使用组策略统一修改客户端本地管理员密码
版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
/logs/4657183.html
您可以通过开机/关机脚本来现实统一修改域中本地管理员的密码。

有关如何创建启动脚本您可以参考下面的链接：
/technet/archive/community/columns/tips/2kscr ipt.mspx?mfr=true
具体的操作方法如下：
1. 点击“开始－>运行”并输入“DSA.MSC”?－>打开Active Directory用户和计算机
2. 然后右键点击（您的域名）－>属性－>组策略。

3. 然后编辑该策略－>计算机配置－> Windows设置-脚本（开机/关机脚本）
4. 双击启动，点击添加，点击浏览，然后将.vbs文件拷贝到弹出的对话中，然后选中该文件，点击打开，点击确定。

最后点击应用和确定。

下面是.vbs的具体内容：
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "testtest01!"
objUser.SetInfo
testtest01!为您指定的新的管理员密码。

5、在DC上刷新组策略，然后重新启动一台客户端，测试管理员密码有没有被更改。

请注意：如果您在域策略上启用密码必须满足复杂性的话，那么您设的新密码一定要满足该条件，否则本地管理员密码不会被更改。

时间同步
通常情况下，Windows 2000/xp/2003域成员有个w32time时间服务，
它会自动与域DC进行时间同步，无需人为干涉，
保持域内时间的同步是kerberos认证协议的一个基本要求，
也是为了防止重放攻击的一种手段，如果域成员客户机与DC的时间相差太大的话，
它的登录将不能成功，这时你可以手动调整系统时间，通常情况下，只要通讯无阻碍，
域成员将自动与DC保持时间同步
还可以在命令行下实现：
net time /setsntp:time.×××.cn (设置时间服务器地址) net stop w32time (停止时间服务)
net start w32time (启动时间服务)
w32tm -s (立即同步时间)。