Active Directory：安装和配置本地管理员密码解决方案 (LAPS)

本分步指南演示了 LAPS 在 Active Directory 环境中的集成。 Active Directory 用户密码集中存储在所有域控制器上。那么管理员的本地帐户呢？我们中的许多人在所有计算机上使用相同的密码。安全方面的噩梦。 LAPS可以集中存储和更改本地管理员密码。

下载 LAPS 安装程序

LAPS 应安装在管理服务器上（在我的例子中是 Windows Server 2016 域控制器）。首先，我们必须下载 LAPS 安装程序：https://www.microsoft.com/en-us/download/details.aspx?id=46899

在管理服务器上安装 LAPS

在安装过程中，选择所有功能非常重要，否则只会安装客户端扩展（客户端也需要）。

修改 Active Directory 架构

必须向计算机对象添加两个属性：

• msMcsAdmPwd
• msMcsAdmPwd过期时间

这两个属性都可以使用 PowerShell 中的 LAPS 命令创建。用户必须是 Active Directory 架构管理员组的成员。打开 Windows PowerShell 并运行

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

配置权限

域计算机必须具有写入权限才能更新本地管理员的密码。就我而言，我授予组织单位“工作站”的所有计算机访问权限。

Set-AdmPwdComputerSelfPermission -Identity Workstations

现在我们必须配置组权限。该组的所有组成员将能够集中读取每台计算机的本地密码。我授予域管理员组“读取密码权限”。

Set-AdmPwdReadPasswordPermission -OrgUnit Workstations -AllowedPrincipals "Domain-Admins"

接下来我们配置本地管理员账户密码重置权限。和以前一样，我允许所有域管理员使用它。

Set-AdmPwdResetPasswordPermission -OrgUnit Workstations -AllowedPrincipals "Domain-Admins"

在客户端计算机上手动安装 LAPS

为了使用 LAPS，必须在所有客户端计算机上安装 AdmPwd GPO 扩展。这可以手动或通过 GPO 完成。就我而言，我在 Windows 10 系统上手动安装以前使用的工具。您所需要做的就是仅安装客户端扩展。

使用组策略软件安装（批量）在客户端计算机上安装 LAPS

嗯，在成百上千台计算机上手动安装 LAPS 很无聊。在生产环境中，您可以使用组策略安装软件。现在这需要一些时间。你准备好了吗？ ?

创建共享文件夹

首先，我们必须创建一个共享文件夹并将安装文件放入其中。我们需要的只是PowerShell 和安装包。要在管理服务器上创建共享文件夹，请打开 Windows PowerShell 并运行

New-Item -Itemtype Directory -Name LAPS -Path C:\

创建文件夹后，激活共享。

New-SmbShare -Name LAPS -Path C:\LAPS\

现在将安装包复制到文件夹中。

配置 GPO 以进行软件安装

在域控制器上，打开组管理控制台 (gpmc.msc)。按照我的屏幕截图创建一个新的 GPO。

提供 GPO 的名称。

单击“编辑”。

导航到计算机配置 - 策略 - 软件设置。右键单击“软件安装”并选择“新建”-“软件包”。

注意路径。您必须提供先前配置的共享文件夹的 UNC 路径。 不要开始浏览计算机来查找软件包！ 使用 \\ServerName\SharedFolderName\LAPS.x64.msi 格式手动输入文件夹路径，然后单击“打开”。

接下来，选择已分配。

回顾你的工作。

最后，将 GPO 链接到组织单位。确保将其链接到客户端计算机的 OU。

为了进行测试，请在一台客户端计算机上运行 gpupdate /force。然后重新启动计算机。重新启动后检查程序和功能。

让我们继续配置最后的步骤。

在所有客户端计算机上启用 LAPS

最后一步是为 LAPS 创建 GPO。在域控制器上，打开组策略管理控制台 (gpmc.msc) 并创建一个名为 LAPS 的新 GPO。打开 GPO 并导航到计算机配置 - 策略 - 管理模板 - LAPS。启用“启用本地管理员密码管理”。

重要说明：如果客户端计算机上的本地管理员帐户名称不是“管理员”，您可能需要更改“要管理的管理员帐户名称”设置，但f.e. “管理员”。

然后将 GPO 链接到组织单位。

在所有客户端计算机上运行 gpupdate /force。您可以远程执行此操作：PowerShell：在所有域计算机上强制 gpupdate

显示本地管理员密码

在管理服务器上打开 LAPS。

输入您的某一客户端的计算机名称。

作为替代方案，打开 Windows PowerShell 并运行

Import-Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName ComputerName | Format-List

高级设置

更改密码策略

使用 LAPS，您可以强制执行本地管理员密码策略。打开之前创建的 GPO 并配置适当的设置。

享受 LAPS 的乐趣！

有关 LAPS 的更多信息，请访问：Technet：“本地管理员密码解决方案”。