如何安装和部署 Microsoft LAPS 软件

在这篇文章中，我们将了解如何安装和部署 Microsoft LAPS 软件。本地管理员密码解决方案 (LAPS) 提供对加入域的计算机的本地帐户密码的管理。

实施 LAPS 时，密码存储在 Active Directory 中并受 ACL 保护。因此，只有符合条件的用户才能阅读它或请求重置。

为什么需要 LAPS？ - 密码管理是一项复杂的任务，尤其是在大型组织中。 LAPS 为这个问题提供了一个解决方案，即在域中的每台计算机上使用具有相同密码的通用本地帐户。

LAPS 通过为域中每台计算机上的通用本地管理员帐户设置不同的随机密码来解决此问题。使用该解决方案的域管理员可以确定哪些用户（例如帮助台管理员）有权读取密码。

在下一篇文章中，我们将了解如何为 LAPS 配置 AD 和为 LAPS 配置 GPO。您可以通过单击以下链接访问这两篇文章。

想象一下您拥有大量服务器和工作站的场景。当无法使用域帐户登录服务器并执行管理任务时，您就会遇到大麻烦。

本地管理员密码解决方案 (LAPS)

没有 LAPS 的情况下人们可以想象的一些场景：-

a) 计算机失去与公司网络的连接，并且没有缓存具有管理权限的凭据。

b) 计算机失去与域的连接或意外地从域中断开连接，因此无法使用域凭据登录到服务器并修复它。

对于此类支持场景，支持人员需要知道本地管理员帐户的密码才能登录计算机并执行必要的管理任务。

Microsoft LAPS 先决条件

要安装 Microsoft LAPS，您需要至少一台管理计算机和至少一台客户端计算机。就我而言，我在域控制器上安装 Microsoft LAPS。

有一些客户端计算机是域的一部分，我们也将部署 LAPS 软件到这些客户端计算机。

支持的操作系统

• 客户端操作系统 - Windows 10、7、8、8.1
• 服务器操作系统 - Windows Server 2003、2008、2008 R2、2012、2012 R2
• Active Directory -（需要 AD 架构扩展）Windows 2003 SP1 或更高版本。
• 托管计算机：Windows Server 2003 SP2 或更高版本，或者 Windows Server 2003 x64 Edition SP2 或更高版本。
  注意：不支持基于 Itanium 的计算机。
• 管理工具：.NET Framework 4.0 和 PowerShell 2.0 或更高版本

安装和部署 Microsoft LAPS 软件

现在，我们将在管理计算机上安装 LAPS 胖客户端、PowerShell 模块和组策略模板。

单击此链接下载 Microsoft LAPS 软件。您可以下载 64 位和 32 位版本。

下载 LAPS 软件后，将 msi 文件复制到服务器上的共享文件夹中。就我而言，我在 C 驱动器上创建了一个共享文件夹，下载的所有文件都在那里。

右键单击 LAPS x64，然后单击安装。

在 LAPS 设置向导中，单击下一步。

我们将选择要安装的所有功能。单击下一步。

单击安装。

LAPS 软件现已安装。单击完成。

使用 GPO 将 LAPS 部署到客户端计算机

我们现在将配置 GPO 以将 LAPS 软件部署到客户端计算机。您还可以使用脚本方法来部署 LAPS。如果您想编写脚本，可以使用此命令行进行静默安装：

msiexec /i LAPS.x64.msi /quiet

或

msiexec /i LAPS.x86.msi /quiet

只需将更改为本地或网络路径即可。

安装到托管客户端的替代方法是将 AdmPwd.dll 复制到目标计算机并使用以下命令：regsvr32.exe AdmPwd.dll

创建 GPO 以部署 LAPS

启动组策略管理控制台，右键单击该域，然后单击在此域中创建 GPO 并将其链接到此处。为 GPO 提供名称。

右键单击您刚刚创建的 GPO，然后单击编辑。

在 GPM 编辑器中，展开计算机配置 > 策略 > 软件设置。右键单击软件安装，然后单击新建 > 程序包。

浏览文件所在路径，选择LAPS软件。选择部署方法为已分配，然后单击确定。

您现在可以看到 LAPS x64 已导入。如果您要添加 x86 LAPS，添加软件包后，请务必编辑 x86 软件包以取消选中选项使此 32 位 X86 应用程序可用于 Win64 计算机。

右键单击 x86 程序包 > 属性 > 部署时，您将找到此选项。这将确保 64 位计算机获得 64 位 DLL，32 位计算机获得 32 位 DLL。关闭 GPM 编辑器。

要更新客户端计算机上的策略，请运行 gpupdate 命令。

在客户端计算机上启动控制面板并单击程序和功能。您将在列表中找到 LAPS 条目。