Решил еще немного обезопасить и сменить на всех компах логин/пароль локального админа. Клиенты на win7. Создал новую политику, область действия сделал на определенного пользователя (чтобы попробовать). Изменил параметр:
Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности -> Переименование уч. записи админ.
Ввел нужное имя. Далее нашел вот такой скрипт:

On Error Resume Next
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery ("Select * from Win32_UserAccount Where LocalAccount = True")
For Each objItem in colItems
If Left (objItem.SID, 6) = "S-1-5-" and Right(objItem.SID, 4) = "-500" Then
Set objUser = GetObject("WinNT://" & strComputer & "/" & objItem.name & ",user")
objUser.SetPassword "new pass"
objUser.SetInfo
End If
Next

Вписал вместо "new pass" пароль. Поместил скрипт в расшаренную папку, и прописал путь к нему в конфигурации компьютера -> сценарии -> автозагрузка.
И ничего не работает, зашел на комп по своей админской учеткой в управление учетными записями и даже имя локального админа там не изменилось. Что я не правильно сделал?

Что я не правильно сделал? »
Создал новую политику, область действия сделал на определенного пользователя »
Политика по изменению имени администратора должна применяться к компьютерам, а не пользователям.

попробовал в фильтре безопасности политики выбрать конкретно этот комп - не работает. Дальше создал подразделение, переместил в это подразделение этот комп и создал политику для данного подразделения, все равно ничего не работает. Ни имя, ни пароль не меняется.

Дальше создал подразделение, переместил в это подразделение этот комп и создал политику для данного подразделения, все равно ничего не работает. Ни имя, ни пароль не меняется. »
На клиентском компьютере выполняли gpupdate /force? Выполните на компьютере gpresult /H result.html и файл result.html покажите.

gpupdate /force на клиенте выполнил. А gpresult /H result.html выполняется, но потом пишет "отказано в доступе". Сделал gpresult /R. Так вот там написано:

Примененные объекты групповой политики
---------------------------------------
правила для проектировщиков

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Local Group Policy
Фильтрация: Не применяется (пусто)

Default Domain Policy
Фильтрация: Не применяется (пусто)

Политика, которую я создал для изменения имени и пароля админа отсутствует.

ter0pefft, Вы добавили разрешения на доступ/безопасность на сам ресурс («Поместил скрипт в расшаренную папку») для компьютеров домена?

Политика, которую я создал для изменения имени и пароля админа отсутствует. »
Покажите скриншоты из консоли управления Групповой политики для вашей политики интесует закладка Область.

вот скриншот
http://s4.postimage.org/a4aev5gk/image.jpg (http://postimage.org/image/a4aev5gk/)

Я сделал специально для опыта "подразделение2", переместил туда комп, который раньше был в "computers". И для этого подразделения сделал политику. Попробовал сделать gpresult /r /scope computer, пишет отказано в доступе.
Изначально было только подразделение 1 и политика для него, все нормально работает.

можно смело поместить политику на уровне леса, область применения сделать именно тот комп , который нужен, во вкладке делегирование появится тот ПК. Зайдите в его свойства и поставьте галочку применить политику.
параметры как было сказано выше указываются для ПК, не для пользователя, т.к. локальный админ - это локальный админ, а не юзер домена.

Все должно получиться, в gpresult в непринятые политики имеется ваша политика? если нет , то она вообще не действует на объект никак , либо вы сделали политику на пользователя , и скопировали в контейнер ПК.

Политики этой нет. Про локального админа я Вас понял, но я ведь специально создал подразделение и переместил туда нужный комп, и политику делал именно для этого подразделения, вроде бы логично. Объясните пожалуйста как удобнее будет сделать для группы компьютеров, не вбивать ведь 40 компов ручками, а с подразделениями я что то запутался уже к концу дня))

Объясните пожалуйста как удобнее будет сделать для группы компьютеров, не вбивать ведь 40 компов ручками, а с подразделениями я что то запутался уже к концу дня)) »
Политику применяете на уровне домена. Создаете группу в нее добавляете все компьютеры к которым должна применяться политика. Для созданной политики в разделе Фильтры безопасности удаляете Прошедшие проверку и добавляете созданную ранее группу. На клиентской машине выполняете gpupdate /force и смотрите применилась ли ваша политика или нет.
Попробовал сделать gpresult /r /scope computer, пишет отказано в доступе. »
Запускаете с правами Администратора?
Покажите еще скрин с закладки Параметры для политики с раскрытым списком всех параметров политики.

Для группы? легко > создается новая группа. туда закидываются все те , кому нужно применение... Область применение ставьте эту группу новую и политика примется. Только после gpupdate \force на сервере.

И еще раз, множество подразделений не совсем рациональное решение, все можно делать фильтрами и областью применения, а так же правами на доступ к политике ( делегирование ) , разветвленная сеть подразделений и контейнеров делается только в очень сложных организациях более 100 ПК и то можно обойтись.

и если в вашем gpresult нет упоминается политика совсем, значит вы не правильно указали тот пк либо не правильно применили плитику к контейнеру, т.е. политика на пользователя, а засунули туда ПК.

спасибо всем, завтра попробую на свежую голову))

сделал сейчас как описано выше. Потом запустил от имени админа gpresult /r /scope computer, политика применяется, но ничего не изменяется. Кстати забыл рассказать, на компах стоит вин7 и имя локального админа - это фамилия пользователя, а не "администратор". Может в этом дело?
Попробовал еще сделать как описано здесь (http://www.winblog.ru/admin/1147767272-27121001.html). В итоге в управлении учетными записями появляется встроенная учетка "администратор", с паролем который я задал в политике, но имя так и не изменилось. Получается и та учетка локального админа с именем "фамилия пользователя" осталась, и добавилась еще одна учетка с правами локального админа "администратор". Ничего не понимаю...

вин7 и имя локального админа - это фамилия пользователя, а не "администратор". »
Я что то не понял админа уже один раз переименовывали?? И все таки покажите скрин с закладки Параметры для политики с раскрытым списком всех параметров политики.

При установке винды в качестве имени вводил фамилию пользователя. Кстати сейчас после того как по приведенной выше статье включилась еще одна учетка "администратор", я заново создал политику на изменение имени/пароля админа и все заработало. Чет я совсем запутался, получается в семерке встроенная учетная запись "администратор" отключена? И то что при установке я вводил фамилию пользователя, это получается просто пользователь компьютера с правами администратора, так получается?
Значит сейчас мне нужно по приведенной выше статье повключать всем администратора, потом применить политику на смену имени и пароля, и затем пройтись и поудалять пользователей с правами локального админа. Я в правильном направлении думаю?
Вы уж простите за бестолковые вопросы, просто недавно этим занялся.

да. без просмотра политики будет тяжело узнать, что там указали.
Если локальный админ был не администратор, то политика создаст пользователя "администратор" .
Но все же надо посмотрет как вы прописали политику, сразу будет все понятно, я думаю.

если вы создавали пользователя с именем фамилии, то пользвателя "Администратор" в системе и не будет.
если вы создали политику по переименованию пользователя "Администратор" а его нет, то политика его создаст.
Т.к. она разовая то эта политика уже не переименует локального админа, при создании следующей политики переименует админнистратора в любую другу, после можете удалить всех локальных админов лишних = ) , только зачем вам это надо ? если и советуют менять имя "администратор" не обязательно менять, можно просто поставить отличный пароль на локального админа и постоянно его менять.

Чет я совсем запутался, получается в семерке встроенная учетная запись "администратор" отключена? »
Да, встроенная учетная запись Администратор-а в windows 7 по-умолчанию отключена.
Значит сейчас мне нужно по приведенной выше статье повключать всем администратора, потом применить политику на смену имени и пароля, и затем пройтись и поудалять пользователей с правами локального админа. Я в правильном направлении думаю? »
Да.

В том то и дело, что на компах нет учетной записи "Администратор", есть учетная запись с правами администратора - "фамилия пользователя". Получается выход один - сначала политикой создать "администратор", потом политикой сменить пароль и имя (ну или только пароль), и уж потом пройтись поудалять "лишних" пользователей с правами локального админа?
А есть возможность поудалять "лишних" локальных админов (которые называются "фамилия пользователя") через политики?

p.s. не думал я когда винду переставлял что так далеко полезу :) Скрины со сменой пароля/имени админа прилагаю
http://s3.postimage.org/20pju3yc/image.jpg (http://postimage.org/image/20pju3yc/)

http://s4.postimage.org/lqr17fqc/image.jpg (http://postimage.org/image/lqr17fqc/)

В том то и дело, что на компах нет учетной записи "Администратор", есть учетная запись с правами администратора - "фамилия пользователя". »
Скрин покажите из консоли управление компьютеров раздел пользователи.