如何逐步设置 Windows LAPS

Windows LAPS 是一种功能强大且易于设置的本地管理员密码管理解决方案，具有巨大的安全优势。 Windows LAPS 将加入您的目录的特定或所有设备的本地管理员密码存储在您的目录中（无论是本地还是 Azure Active Directory），这些密码将具有严格的过期和轮换时间，这将有助于防止在期间发生接管和横向移动。攻击。这可以大大提高在使用远程帮助台代理等情况下的安全性。

Windows LAPS 直接集成到最新的操作系统中，使管理员可以快速轻松地在整个组织中进行部署。

在本教程中，我将向您展示如何逐步将 Windows LAPS 部署到已加入 Active Directory 的设备。

什么是 Windows LAPS？

Windows LAPS 是 Microsoft 旧解决方案 Microsoft LAPS 的后继者。 LAPS 代表L本地A管理员P密码解决方案，这正是它的作用。 Windows LAPS 是一项新的 Windows 功能，使您能够从本地 Active Directory 或 Azure Active Directory 管理本地管理员帐户密码。

LAPS可用于在一些不同场景下备份和管理本地管理员帐户密码：

• 将加入本地 Active Directory 的设备的本地管理员密码备份到本地 Active Directory。
• 将加入 Azure Active Directory 的设备的本地管理员密码备份到 Azure Active Directory。
• 将 Windows Server 域控制器的 DSRM 密码备份到本地 Active Directory。

需要知道！

您的 Windows LAPS 部署设置取决于您的设备的管理方式！如果您的设备仅加入本地 Active Directory，则只需将密码备份到本地 Active Directory。

同样，如果您的设备仅加入 Azure Active Directory，则您只能将密码备份到 Azure Active Directory。

但是，如果您的设备混合加入到本地 Active Directory 和 Azure Active Directory，则它们可以备份到任一位置，但不能同时备份到两个位置。

Windows LAPS 的要求

要使用直接内置于操作系统中的最新版本的 Windows LAPS，您必须运行以下任一操作系统：

客户端操作系统

• Windows 11 22H2 - 2023 年 4 月 11 日更新
  Windows 11 21H2 - 2023 年 4 月 11 日更新
  Windows 10 - 2023 年 4 月 11 日更新

Windows 服务器操作系统

• Windows Server 2022 - 2023 年 4 月 11 日更新
• Windows Server 2019 - 2023 年 4 月 11 日更新

使用 Windows LAPS 不需要额外的许可要求。

如何逐步设置 Windows LAPS

1. 首先以域管理员身份登录域控制器并打开 PowerShell。

2. PowerShell 打开后，运行以下命令来更新 Active Directory 架构。

Update-LapsAdSchema

您可以输入Y来手动审核和批准每个架构更新，也可以输入A来自动批准所有更新。

运行更新命令后，以下属性将添加到架构中：

• msLAPS-密码过期时间
• msLAPS-密码
• msLAPS-加密密码
• msLAPS-加密密码历史记录
• msLAPS-加密DSRM密码
• msLAPS-加密DSRM密码历史记录

您可以通过使用 -verbose 开关重新运行命令来验证所有更新是否成功。

Update-LapsAdSchema -verbose

您可以从输出中看到所需的属性现在已经存在。

3. 接下来，我们需要确保要配置 LAPS 的托管设备具有更新其密码的正确权限，这是通过更新计算机对象上的相关 msLAPS- 属性来实现的。此时，属性将显示为空白：

针对包含您的计算机 OU 的最高级别 OU 的唯一名称运行以下命令。例如，我将针对我的 ourcloudnetwork OU 运行此命令，其中包含一个名为 Computers 的子 OU，该子 OU 运行后，顶层 OU 的权限将继承下来。

Set-LapsADComputerSelfPermission -Identity ourcloudnetwork

您可以看到，如果我尝试针对不唯一的 OU 名称运行此命令，则会出现以下错误：

Set-LapsADComputerSelfPermission ：在 AD 中找到“计算机”OU 的多个结果 2

3. 现在您需要确保必要的用户能够读取 Active Directory 中的 LAPS 密码。使用 Set-LapsADReadPasswordPermission cmdlet 授予特定组读取所需 OU 的 LAPS 密码的权限。

例如，下面我将授予 Workstation Admins 安全组读取 ourcloudnetwork OU 中计算机的 LAPS 密码的权限。

Set-LapsADReadPasswordPermission -Identity ourcloudnetwork `
-AllowedPrincipals "ourcloudnetwork\Workstation Admins"

您还可以使用一些类似的命令以相同的方式委派权限，这些命令是：

• Set-LapsADPasswordExpirationTime - 授予特定用户组更新 AD 中 LAPS 密码过期时间的权限
• Set-LapsADResetPasswordPermission - 授予特定用户组在 AD 中手动重置 LAPS 密码的权限。

您可以使用 Find-LapsADExetishedRights 命令检查特定 OU 的当前权限。

4. 现在我们可以通过本地组策略将 LAPS 配置部署到目标设备。首先创建一个新的 GPO 并将其链接到目标计算机的 OU。

5. 编辑策略并找到位于计算机配置 > 管理模板 > 系统 > LAPS 的 LAPS 设置。 最低限度，您需要启用配置密码备份目录以将密码备份到 Active Directory 。

您可以看到有几个选项，但如果不启用此设置，您实际上会禁用 LAPS 策略。

6. 您需要决定使用 LAPS 管理的本地帐户。 LAPS 不会为您创建本地管理员帐户，您需要确保该帐户存在于托管设备上，以便 LAPS 更新其密码，无论是内置管理员帐户（不推荐）还是自定义用户帐户（推荐） 。

有很多方法可以创建新的本地用户帐户并将其添加到本地管理员组，尽管我不会在本文中介绍具体细节，但一些选项包括：

• 组策略首选项
• 网络登录脚本
• 组策略脚本
• 因图恩
• 手动
• 远程 PowerShell 脚本
• 3rd 方 RMM 工具

7. 决定使用哪个帐户后，配置要管理的管理员帐户名称设置。

最后要配置的两个设置是：

• 密码设置
• 不允许密码过期时间长于所需的策略

密码设置允许您定义密码复杂性、密码期限和密码长度。不允许密码过期时间长于所需策略设置可确保如果管理员尝试将密码过期时间设置得长于定义策略，则该设置不会生效。例如，如果我将密码设置如下，那么如果用户尝试将密码过期时间设置为 5 天，则默认为 1 天。

8. 您现在已经配置了 LAPS！ 重新启动最终用户设备，确保其位于域网络上并且生效。

如何使用 GUI 检索 LAPS 密码

要检索计算机的 Windows LAPS 密码，您可以直接通过 Active Directory 用户和计算机执行此操作。

1. 打开 ADUC 并双击要找回密码的计算机帐户。

2. 选择LAPS 选项卡，然后选择显示密码。

如何使用 PowerShell 检索 LAPS 密码

对于某些人来说，一个更简单的解决方案可能是使用 PowerShell 检索计算机的 LAPS 密码。

1. 首先打开 PowerShell。

2. 运行以下命令并指定目标桌面名称。

Get-LapsADPAssword %targetDesktop% -AsPlainText

您的输出将如下所示：