ドメイン参加後のBuilt-inのローカルAdministratorのパスワード変更は可能かどうかというのは、あんまりサーバを経験したことがない方や、ADの構築、運用経験が少ない方はあんまりピンと来ていないかもしれません。
初めてドメインコントローラを構築する場合、ビルトインのAdministratorがドメインのAdministratorに変わりますが、そちらについて同様の疑問を持った方の質問がフォーラムに情報がありました。
質問内容です。
Active Directory参加後(ドメコン・ワークステーション)に
ローカルAdministrator(AD参加前のAdministrator)のパスワード変更についてですが
ドメコンの場合一旦降格(ADの役割削除)を実施し、WorkGroupでログイン後でないと変更できないのでしょうか?
以下のように回答があります。
DCになるとローカルAdministratorはいなくなります。(ドメインAdministratorがローカルAdministratorになると言った方が正しいかもしれません)
降格時にはローカルAdministratorのパスワードを設定します。私の検証環境で以下コマンドは通りましたが、ドメインAdministratorのパスワードが変更されました。
もう一つ参考になる情報です。
この件ですが、ドメインコントローラーのローカルアカウント(Administrator)は基本的に存在が隠れてしまうため、アクセス自体出来ません。
なので基本的には考慮不可なのですが、DSRM(ディレクトリサービス復元モード)のアカウントは考慮すべきかもしれません。ローカル管理者アカウントの一種で、Active Directoryデータベースのリストアや、利用不可の際にトラブルシュートのために使用します。
DSRMはコマンドで変更できますので、したのページを参考にしてください。
Active Directoryに参加後のローカルAdministratorのパスワード変更について。
結論、ローカルのAdminsitratorという概念は考える必要はないですね。ドメインコントローラに関しては。ただ、メンバーサーバは使用可能なので、どちらも運用で使用する場合は、パスワードの運用などはしっかりと考える必要があります。
セキュリティ的にはAdministratorは違う名前にして運営したほうがベターです。
