如何使用GPO(组策略)重命名管理员账号
在本文中,我将向您展示如何使用GPO(组策略)重命名管理员帐户。我们将创建一个GPO并将其链接到一个OU,该OU将重命名加入域的计算机上的本地管理员帐户。
在安装任何Windows操作系统时,默认管理员帐户都是禁用的。永远不要使用内置的管理员帐户登录。您必须使用自己的管理帐户。此外,您可以通过多种方式启用管理员帐号。但是,除非您确实需要访问此帐户,否则不建议使用此帐户。
重命名管理员帐户将减少暴力攻击的机会,增强活动目录网络的安全性。组策略使得在AD域中的所有pc上重命名管理员帐户变得简单。
在我们进一步讨论之前,这里有一些与GPO相关的真正有用的文章:
为什么要重命名本地管理员帐户?
所有Windows 10和Windows 11桌面版本(家庭版、专业版、企业版和教育版)都存在管理员帐户。管理员帐户具有访问系统的特权。作为推荐的安全实践,重命名帐户可以稍微增加攻击者猜测此用户名和密码组合的难度。
使用GPO重命名管理员帐户的步骤
让我们看一下使用组策略重命名管理员帐户的步骤。首先,启动组策略管理控制台在服务器上。如果您是域管理员,则可以登录到域控制器或安装了GPMC的成员服务器。
在此,我想强调两点:
- 在这种情况下,您不应该编辑默认域策略,因为设置将应用于整个AD域。
- 许多组织遵循的最佳实践是创建一个新的GPO,然后将其应用到选定的OU。
在组策略管理控制台,扩展您的域名并导航到组策略对象。我们将首先创建一个新的GPO,它将重命名内置管理员帐户,然后将该GPO链接到OU。右击组策略对象并选择新。
输入GPO名称为重命名本地管理员,然后点击好吧。
您应该在下面找到新创建的GPO组策略对象。右键单击重命名本地管理员GPO和选择编辑。
在组策略管理编辑器中,导航到“计算机配置\策略\Windows设置\安全设置\本地策略\安全选项”。在右侧窗格中查找策略帐户:重命名管理员帐户。右键单击此策略设置并选择属性。
帐户:重命名管理员帐户:此安全设置确定是否与不同的帐户名关联Administrator帐户的SID (security identifier)。的内装式\管理员帐户的相对标识符(RID)始终为500。重命名知名的Administrator帐户会使未经授权的人员稍微难以猜测此特权用户名和密码组合。
在重命名管理员帐户属性窗口中,选中选项"定义此策略设置,并输入本地管理员名称。确保管理员名不包含任何符号或特殊字符。点击应用和好吧。关闭组策略管理编辑器。
将组策略对象链接到OU
有必要将我们在前一步中创建的GPO应用或链接到OU。在将策略扩展到更大的组之前,最好在一小组计算机上测试该策略,不过如果需要,也可以将其链接到整个域。在组策略管理控制台中右键单击一个OU,然后选择“链接现有GPO。”
您必须选择一个GPO链接到OU。在本例中,选择重命名本地管理员并将其链接到OU。点击好吧。
我们看到GPO的作用域被应用于经过身份验证的用户。
在客户端计算机上更新组策略和验证GPO
在此步骤中,我们将刷新计算机上的组策略,并验证GPO是否已重命名管理员帐户。默认情况下,已加入AD域的计算机的组策略更新间隔为90分钟修改“组策略刷新间隔”如果需要。
运行命令gpupdate /力在客户端计算机上强制组策略更新。我写了一篇关于在远程计算机上更新组策略的不同方法,这在这里很有帮助。在Windows计算机上,以管理员身份启动命令提示符,并运行命令"gpupdate /力这将强制更新适用于该计算机的所有策略。
从下面的截图中,我们可以看到管理员账号已经被重命名为“Prajwal在申请GPO后。要查找管理员帐户,可以打开本地用户和组控制台,或者直接运行命令lusrmgr.msc。选择用户文件夹,在这里您将找到在计算机上创建的所有帐户,包括重命名的管理员帐户。关于如何使用GPO重命名管理员帐户的指南现在已经完成。
