ローカルのAdministratorアカウントのパスワードを一括で変更するには

　セキュリティの観点から、クライアントPCのローカルの『Administrator』ユーザーアカウント(管理者権限ユーザーアカウント)のパスワードを定期的に変更することになりました。

　環境としては、Windows2000Serverによるドメインが構築されて、ネットワーク上のクライアントPC約150台はすべてWindows2000ProfessionalSP4で統一されています。

　ドメイン上の管理者ユーザーのアカウントは簡単に変更できますが、ローカルの管理者アカウントのパスワードは1台、1台ログインして変更していかなければなりません。

　しかも1週間に一度の頻度が予想されて、たいへんな手間となると思います。

　いっそのことローカルの管理者ユーザーアカウントを削除してドメインの管理者ユーザーだけでクライアントPCを管理したいのですが、ネットワークが使用不可で管理者ユーザーでログインしなければならない状況が発生しないとも限りません。

　何か良い方法があれば教えてくれますか。
　また、このようなケースの場合どのように管理されているかもお聞かせいただけたらと思います。

No.1 ベストアンサー 回答者： osamuy 回答日時： 2005/12/02 14:25

定められたドメインユーザしかローカルログオンできないように、全クライアントのセキュリティを（グループポリシーを使って）設定して、ローカル管理者アカウントではログオンできないようにするとか。

パスワードをかえた場合、必要なサービスが動かなくなったりする恐れがありますので、ローカルログオンを禁止するだけの方が現実的と思われます。

この回答への補足

　さっそくのご回答どうもありがとうございます！！
　
　グループポリシーを使って制限をかける方法がありましたね。気がつきませんでした。参考になります。
　また確かにローカルログオン禁止が現実的と私も思います。
(パスワード変更によってクライアントPCのサービスが動かなくなるケースは現在のところないと思いますが)

　ただ、上の希望としては『ローカルのパスワードを定期的に変更している』という実績が欲しいようなのです。
　「osamuy」さんのご意見も具申してみようと思います。

補足日時：2005/12/02 14:50

No.2 回答者： BLUEPIXY 回答日時： 2005/12/02 18:26

パスワードの定期的変更を強制するという意味なら、

パスワードの有効期限を設定して、ログイン時に変更させる様に設定したらどうでしょうか

この回答へのお礼

　ご回答どうもありがとうございます。

　実際に使用する(ドメイン上の)各ユーザーへはドメインのポリシーで定期的(1ヶ月に一度くらい)に変更するよう設定しています。また、ドメイン上の管理者ユーザーアカウントにも1週間に一度の変更を設定しています。

　しかし、ローカルの(管理者権限)ユーザーアカウントは、そのクライアントPCでハードやソフトウェア上のトラブルがあった時くらいしかログオンする機会はありません。
　
　有効期限をローカルユーザーに設定しても、1台、1台に実際にログオンしないと変更ができないのが現状です。

　では「毎週1台、1台ローカルでログオンして変更すればよいではないか」ということになりますが、これを150台のPCで行うとなるとかなりの労力になってしまいます。
　ネットワーク上から変更したり、リモートで変更するなど方法はないかと思いご相談しました。

　説明がわかりづらくすみません。

　無理な話かとも思いますが、何か良い方法がありましたら参考にしたので、どうかよろしくお願いいたします。

お礼日時：2005/12/03 09:58