5 个顶级本地管理员密码解决方案 (LAPS) 提示

本地 Windows 管理员帐户是黑客和恶意软件梦寐以求的目标。如果黑客能够破解您的一台服务器的本地管理员帐户，则可能会发生很多不好的事情。

当有人使用管理员帐户下载恶意软件时，通常会发生可怕的事情。如果您对每台类似的计算机使用默认管理员帐户并使用相同的密码，那么这些问题的严重性会进一步放大。

您可以拥有世界上最复杂的密码，但一旦该密码在一台计算机上被泄露，那么使用相同本地管理凭据的所有其他设备就都可以使用。

当然，您可以为每个 Windows 设备自定义本地管理凭据，但这可能非常耗时，更不用说清点许多凭据集的任务了。当您启用密码刷新（当然您应该这样做）时，该过程实际上变得不可行。这就是为什么许多管理员经常禁用它的原因。

但拥有某种类型的本地管理员帐户来“上门修复机器”，例如重置其域信任关系或硬编码 IP 地址等，这是可以理解的。

如果在每台计算机上使用相同的本地管理员密码是一个糟糕的主意，那么该怎么办呢？

提示 1：使用 Microsoft 本地管理员密码解决方案 (LAPS)

Microsoft 本地管理员密码解决方案 (LAPS) 是一种 Microsoft 工具，使 AD 管理员能够管理加入域的计算机的本地帐户密码并将其存储在 AD 中。

当通过组策略实施时，LAPS 会创建一个具有定义的长度和复杂性的随机密码，该密码在加密上是安全的，并且每次在每台计算机上都不同。然后，它将新创建的密码应用于本地管理员帐户，并将密码记录在 Active Directory 架构中的安全字段中。然后，当需要访问该帐户时，可以检索它们。每当组策略定义的密码刷新到期时，该过程就会自动完成。

LAPS 确实有一些实施要求：

• 它仅适用于 Windows 设备
• 设备必须加入域
• 它需要免费的组策略客户端扩展
• 它需要模式扩展（不要惊慌。）
• 它仅适用于本地管理员帐户
• 它仅适用于一个本地管理员帐户（如果您有多个帐户。）

技巧 2：LAPS 和组策略

如前所述，LAPS 是使用组策略部署的，这意味着它需要创建 GPO。您首先需要下载 LAPS，您可以在此处下载。
然后使用向导将其安装到组策略管理计算机上。您需要手动执行此操作，并且通常不以某种自动化方式执行此操作。

确保至少选择 GPO 编辑器模板才能访问必要的 ADMX 文件。胖客户端是一个图形用户界面，使具有适当权限的用户能够查询指定设备的密码。您只需要在计算机上安装管理工具，而不需要安装“AdmPwd GPO Extension”（带有 GPMC 的计算机）。

然后，您必须进入本地 PolicyDefinitions 文件夹并复制 AdmPwd.admx 和 AdmPwd.adml 文件并将它们粘贴到 AD 中央存储中。 （查看此过程的视频）。

接下来，我们需要扩展 AD 架构以适应本地密码。

两个必需的属性是：

• ms-Mcs-AdmPwd - 以明文形式存储密码
• ms-Mcs-AdmPwdExpirationTime - 存储重置密码的时间

要更新架构，只需导入 AdmPwd PowerShell 模块并使用 update-AdmPwdADSchema 命令，如下所示。

下一步是创建计算机端 GPO。对于这个例子，我将其称为 LAPS 策略。 LAPS 设置现在将显示在计算机配置 > 管理模板 > LAPS 下，其中有 4 个可用设置，如下所示。

您可以使用 LAPS GPO 来管理默认本地管理员或自定义本地管理员帐户的密码。下面我启用了“启用本地管理员密码管理”设置。

如果您已重命名本地管理员帐户（您应该重命名），则可以指定更新的名称。选择管理员帐户后，最后一步是启用配置密码设置（包括密码长度和期限）的组策略设置。

配置完成后，只需通过您所需的软件部署方法（例如 PDQ Deploy）部署 LAPS 客户端扩展软件即可。如果您要手动进行初始测试，则只需要“GPO 扩展”部分。你可以在这里看到这个。

您还可以使用PolicyPak 来获得对部署过程的更多控制。稍后会详细介绍。

提示 #3：在需要时通过 LAPS 获取密码

因此，有一天您需要知道您的一台 Windows 计算机当前生成的密码是什么。你怎么做呢？有几种方法。 On 是使用以下 PowerShell 命令。

Get-AdmPwdPassword -Computername“计算机名称”

如果您安装了 LAPS Fat Client，则可以在开始菜单中访问 LAPS UI 应用程序。

技巧#4：通过项目级定位向用户分配细粒度的 LAPS 策略

PolicyPak 在其 PolicyPak 管理模板管理器中提供了所有 ADMX 模板设置，我们会在每个新的 ADMX 版本发布时更新这些设置。与标准组策略相比，使用管理模板管理器有很多优点。

PolicyPak 使用组策略编辑器，如下所示，但添加了一个秘密超级大国。

主要优点是，PolicyPak 可以将项目级目标用于任何组策略设置，包括 LAPS。

如果您熟悉组策略首选项，那么您已经知道 ILT 如何提供有关策略分配的更多粒度。例如，假设您服务器上的所有本地管理员帐户都名为 ServAdm1n，并且您希望为这些管理员创建单独的 LAPS 策略。由于这些不是管理域帐户，因此您无法使用组策略来定位它们，但可以使用 ILT 来定位那些运行 Windows Server 2016 的计算机。

现在让我们为 C 级行政笔记本电脑制定 LAPS 策略。当然，我们希望为这些本地管理员帐户设置一个强密码。在本例中，我想使用最高复杂度强制使用 20 个字符的密码。然后我将使用 ILT 来定位 C 级安全组。正如您在下面的屏幕截图中看到的，有许多可定位的选项，包括计算机名称、OU 匹配、站点匹配、计算机外形规格（笔记本电脑与台式机）等等！

另外，虽然在组策略编辑器中创建的传统 GPO 通常只能使用组策略进行部署，但 PolicyPak 设置可以使用多种方式进行部署，例如 SCCM、KACE 或您首选的 MDM 服务。
您可以通过观看此视频来了解有关该过程的更多信息，该视频演示了在不使用组策略引擎本身的情况下交付组策略设置的过程。

技巧 5：将 LAPS 与 PolicyPak 最低权限管理器配对

本地管理员密码解决方案是一个很好的工具，可以加强对最重要计算机的管理访问。事实上，它还与PolicyPak Least Privilege Manager 完美搭配。 PolicyPak 最低权限管理器完全消除了对本地管理员权限的需要，使标准用户能够执行管理员等特殊功能……但没有实际的管理员权限。

您可以一起在所有企业计算机上实施 LAPS……因为您不再需要本地管理员访问权限。

最后，无论您能使用组策略做什么，使用 PolicyPak 都可以做得更好。实施 LAPS 并添加 PolicyPak 并获得更多安全性、强大功能和敏捷性。