GPO: Cambio de Contraseñas y Gestión de Usuarios Locales
Seguramente en más de una ocasión os habrán asigando la tarea de cambiar la contraseña del administrador local de los equipos del dominio. En versiones anteriores a Windows Server 2008 como DC, no teníamos la posibilidad de crear una GPO para establecer la nueva contraseña a distintos usuarios locales de los equiops del dominio. Por lo menos de forma “nativa”, pero si con distintas utilidades como PsPasswd v1.23, nos permite cambiar la contraseña de forma remota y/o local mediante una línea de comandos.Con PsPasswd v1.23, podíamos crear un pequeño script (BAT), crear una tarea programada y cuando finalice la tarea programada se habrá completado el proceso. Este proceso tiene un problema importante, si el equipo no se encontraba iniciado mientras se ejecutaba el script claramente no se procesaba el cambio de contraseña. También podíamos crear el script, crear una GPO para configura el script para que se ejecutase cuando el equipo se iniciase. Esta opción sería la más fiable para asegurarnos de que se cambiará la contraseña en cuanto se inicie el equipo.
Sintasix
computer | Perform the command on the remote computer or computers specified. If you omit the computer name the command runs on the local system, and if you specify a wildcard (\\*), the command runs on all computers in the current domain. |
@file | Run the command on each computer listed in the text file specified. |
-u | Specifies optional user name for login to remote computer. |
-p | Specifies optional password for user name. If you omit this you will be prompted to enter a hidden password. |
Username | Specifies name of account for password change. |
NewPassword | New password. If ommitted a NULL password is applied |










Por defecto el usuario se crea como un usuario limitado, ahora si queremos añadirlo a administrador local podemos hacerlo en la misma directiva con la opción de Grupo Local, pero como no es un usuario del dominio debéis escribir el nombre del usuario porque no podemos buscarlo en el Directorio Activo
ahora vamos a ordenar las reglas de creación de usuario primero y luego la de añadir el usuario al grupo local después, para ello pulsamos sobre la directiva que queremos cambiar de ubicación y seleccionamos subir hasta que esté por encima de la opción de añadirlo al grupo local
una vez que se ha actualizado como vemos ya se ha creado el usuario local y se ha añadido al grupo de Administradores Locales



seleccionamos el usuario o grupo del dominio que queremos añadir al grupo de Administradores locales del equipo


Sobre esta directiva / Autor / 21 enero, 2015
Hola quisiera saber si esta directiva es aplicable a equipos con windows XP SP3 Profesional.
Saludos
Respuesta / Autor / 21 enero, 2015
Hola Pedro:
Esto se puede hacer desde Windows XP SP2 en adelante, no deberías tener problemas. Lo que sí deberías tener instalado son las extensiones de directivas en los clientes, pero si tiene el SP3 deberías tenerlo ya listo
Un saludo
Agradecimiento / Autor / 21 enero, 2015
Gracias por la ayuda. Tuve que instalar el parche KB943729 y de esa manera funciono correctamente la política.
Saludos y nuevamente gracias.
Quiero hacer algo parecido / Autor / 11 febrero, 2015
Quiero eliminar los usuarios locales con perfiles de administrador. O ver la forma de listar los usuarios locales de las máquinas del dominio para eliminarlos. O de ultima deshabilitarlos. Desde ya muchas gracias!
Respuesta / Autor / 11 febrero, 2015
Hola Carlos:
Pues fuerza a añadir a los administradores al grupo local de los equipos de administradores quitando el resto de usuarios. Para ello tienes en las directivas la opción de quitar a los usuarios del grupo que estás gestionando. De tal forma dices que quite todos los usuarios que tenga el grupo de administradores locales y añades los que tú quieras. Puedes crearte un usuario admin local fuera del administrador predeterminado y añadirlo al grupo de administradores locales y el resto que los quite del grupo de administradores
Un saludo
Problema al guardar contraseña de administrador integrado / Autor / 9 diciembre, 2015
Hola!
Tengo un problema :s
Cuando agrego mi nuevo usuario local y hago todos los pasos, no me salta el recuadro de “Esta contraseña se almacena como parte del GPO…” Y supuse que los cambios se guardaron sin problema pero no funciono el cambio… no me establecio la nueva contraseña para los administradores locales y no solo tengo ese problema, tambien, cuando asignamo la GPO a la OU me aparece como ya “habilitado” pero el cambio sigue sin funcionar.
Me urge un poco cambiar la contraseña de 100 equipos ¿ Alguien me podria ayudar?
Rodrigo / 29 junio, 2017
al celeccionar el usuario administrador no me deja ingresar una contraseña las casillas esta bloqueadas, que podra ser???
Rodrigo / 29 junio, 2017
Ya cache este procedimiento fue deshabilitado por microsoft por seguridad ahora se debe hacer por scrip.