如何修复Windows LAPS帐户密码解密权限错误

实施 Windows LAPS 后，一些管理员可以看到 LAPS 本地管理员帐户名和密码，而其他管理员则看到这两个字段都是空的。为什么会出现这种情况，解决办法是什么？在本文中，您将了解如何修复 Windows LAPS 帐户密码解密权限错误。

您无权解密账户密码

我们来看看出现的错误。

启动Active Directory 用户和计算机，然后转到要检索其 LAPS 密码的计算机属性。单击圈数选项卡。

出现警告：

该帐户的密码已加密，但您无权解密。

LAPS 本地管理员帐户名称和 LAPS 本地管理员帐户密码字段均为空。但是，我们希望看到这两个字段均已填充。

为什么会发生这种情况，以及如何修复警告消息帐户的密码已加密，但您无权解密？

Windows LAPS账户密码解密权限错误的解决方法

如果您配置 Windows LAPS 并使用具有域管理员权限的帐户登录，您将不会看到此警告。

出现该警告是因为登录以检索 LAPS 本地管理员帐户名和密码的用户帐户不是域管理员。例如，服务台团队的用户没有分配域管理员权限。

要解决此警告，我们必须创建一个包含其所有成员的安全组。接下来，设置该安全组的 LAPS 读取和重置权限。最后，将该组添加到 Windows LAPS 授权密码解密器策略中。

步骤1.创建安全组

在Active Directory 用户和计算机中创建安全组。

将成员添加到组中。另外，添加域管理员，因为该组将是唯一能够读取和重置 LAPS 密码的组。

步骤2.获取安全组SID

使用 PowerShell 查找安全组 SID。

Get-ADGroup "Windows_LAPS"

输出与组 SID 一起出现。

DistinguishedName : CN=Windows_LAPS,OU=AD,OU=Groups,OU=Company,DC=exoip,DC=local
GroupCategory     : Security
GroupScope        : Universal
Name              : Windows_LAPS
ObjectClass       : group
ObjectGUID        : 05c3f8a0-4f46-4441-ab41-796538b45a82
SamAccountName    : Windows_LAPS
SID               : S-1-5-21-1083891243-2317051905-4228426097-3278

复制安全组 SID 值，您将需要在后续步骤中使用它。

步骤 3. 设置 LAPS 权限

替换这两个命令中的安全组 SID 并在 PowerShell 中运行它。

Set-LapsADReadPasswordPermission cmdlet 将授予组查询 Windows 本地管理员密码解决方案 (LAPS) 密码的权限。

Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")

Set-LapsADResetPasswordPermission cmdlet 将授予组设置 Windows 本地管理员密码解决方案 (LAPS) 密码过期时间的权限。

Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")

步骤 4. 配置授权密码解密器策略

打开组策略管理。

导航至计算机配置 > 策略 > 管理模板 > 系统 > LAPS。

将安全组 SID 添加到授权密码解密器字段。

在我们的例子中，它是：

S-1-5-21-1083891243-2317051905-4228426097-3278

第 5 步：验证您的工作

重要提示：注销并重新登录管理服务器或域控制器，以使权限设置生效。

启动Active Directory 用户和计算机。转到计算机属性并单击LAPS选项卡。该错误不再显示，并显示 LAPS 本地管理员帐户名和密码值。

就是这样！

了解更多：为本地配置 Microsoft Entra 密码保护 »

结论

您了解了如何修复帐户密码已加密，但您无权解密错误。首先，创建一个安全组并添加所有能够查看和重置 LAPS 密码的用户。之后，配置 LAPS 组策略授权密码解密器并将组添加到其中。请记住注销并重新登录以使权限生效。

您喜欢这篇文章吗？您可能还喜欢如何创建 Active Directory 安全评估报告。不要忘记关注我们并分享这篇文章。