在USER都已加入windows網域與權限只有Domain User的情形下

1.要如何讓USER能更改本機的Administrator密碼,或新增本機帳戶
(預設無法新增修改本機帳戶)

2.可否在DC上就能設定每台電腦的本機帳戶,例如:我要每台電腦都新增一個LocalAdmin的本機帳號且密碼都一樣

3.可否在DC上就能設定網域內每台電腦的"本機"Administrator密碼
(公司每台電腦的本機Administrator密碼都不一致,
我也不知道密碼,所以想統一每台電腦的本機Admin密碼)

有以上問題是因為
公司原舊有DC主機中過毒之後就整個怪怪的,許多應用程式都被吃掉,
想重灌Win2008,網域名稱必須沿用要一樣,
但希望能做到不影響USER的使用,例如桌面環境,
郵件設定等等,目前想到的辦法是每個USER退出網域,
等Win2008建好後再重新加入網域,
USER的桌面環境等設定應該還是和原來的一樣,
但目前Domain USER是沒有退出網域的權限(設定反白不能按),
若以本機Admin登入就能退出網域,還是有更好的方法呢?

贊助商連結

網域用戶名稱含domain, 本機用戶名稱通常不含domain, 例如administrtor, 不同名稱決定登入網域或本機

若本機管理員密碼遺失, 那就破解 (重置) 吧! 反正沒其他辦法, 但密碼最好別給員工, 頂多另開具管理員或Power User 權限的帳戶給員工使用

為何不給Domain USER 退出網域的權限呢? 難道要強迫只能重新啟動嗎? 這不是作繭自縛嗎?

最強破解 XP，2000，2003 登入密碼的方法！（破解 超級管理員 密碼）- PCZONE 討論區 (http://www.pczone.com.tw/thread/3/113213/)

敢問..
給USER退出網域的權限是在GPO裡設定嗎?

不敢答...

沒Server, 純粹無機之談, 不過GPO 是一個很好的方向, 既然你有概念, 何不試過再問?

在USER都已加入windows網域與權限只有Domain User的情形下

1.要如何讓USER能更改本機的Administrator密碼,或新增本機帳戶
(預設無法新增修改本機帳戶)

2.可否在DC上就能設定每台電腦的本機帳戶,例如:我要每台電腦都新增一個LocalAdmin的本機帳號且密碼都一樣

3.可否在DC上就能設定網域內每台電腦的"本機"Administrator密碼
(公司每台電腦的本機Administrator密碼都不一致,
我也不知道密碼,所以想統一每台電腦的本機Admin密碼)

有以上問題是因為
公司原舊有DC主機中過毒之後就整個怪怪的,許多應用程式都被吃掉,
想重灌Win2008,網域名稱必須沿用要一樣,
但希望能做到不影響USER的使用,例如桌面環境,
郵件設定等等,目前想到的辦法是每個USER退出網域,
等Win2008建好後再重新加入網域,
USER的桌面環境等設定應該還是和原來的一樣,
但目前Domain USER是沒有退出網域的權限(設定反白不能按),
若以本機Admin登入就能退出網域,還是有更好的方法呢?
用 Domain Admin 權限 runas 讓 user 執行
net user administrator 123456

問一個問題!
DC 現在還能不能讓其他台電腦執行 DCPROMO 安裝第二台 DC?
可以的話!
能不能把五個角色(netdom query fsmo)移到第二台去?然後移除第一台的DC.
這樣不就不用把 user 退出網域再加入網域.

不敢答...

沒Server, 純粹無機之談, 不過GPO 是一個很好的方向, 既然你有概念, 何不試過再問?

恩..就是試過了,
網路上很多先進都說為何 Domain USER 可以自行..加/退網域,
而我就不行XD

我在試試好了,謝謝!

用 Domain Admin 權限 runas 讓 user 執行
net user administrator 123456

問一個問題!
DC 現在還能不能讓其他台電腦執行 DCPROMO 安裝第二台 DC?
可以的話!
能不能把五個角色(netdom query fsmo)移到第二台去?然後移除第一台的DC.
這樣不就不用把 user 退出網域再加入網域.

有想過用轉移的方式,但因為公司組織有重大變動,和人事流動率超高,
有一堆登入過的卻沒使用也沒刪除的原件在AD上,
和一堆設定不詳的 by group GPO,
不想轉移後一個一個去找出來清理,
所以我是想重新建立AD,OU,Group,User,資源分享等,會比較能掌握網域,
謝謝提供意見!

補充 : 我才剛接手,正在收拾爛攤子中 XD