如何为 LAPS 配置组策略

该帖子详细介绍了为 LAPS 配置组策略的步骤。这是第三篇也是最后一篇文章，介绍 LAPS 的组策略配置。

在这篇文章中，我们将修改一些与 LAPS 相关的组策略设置。我们知道LAPS提供对加入域的计算机的本地帐户密码的管理。密码存储在 Active Directory (AD) 中并受 ACL 保护。因此，只有符合条件的用户才能阅读它或请求重置。

在我之前的帖子中，我们讨论了两个重要主题。第一个是如何安装和部署 Microsoft LAPS 软件，第二个是如何为 LAPS 配置 Active Directory。您可以通过单击下面的链接访问这两篇文章。

如何为 LAPS 配置组策略

为 LAPS 配置组策略

• 启动组策略管理控制台。
• 右键单击域计算机所在的 OU。
• 单击在此域中创建 GPO 并将其链接到此处。
• 指定组策略名称，例如“LAPS”，然后单击“确定”。
• 在下一步中编辑 GPO。

LAPS 设置位于计算机配置 > 管理模板 > LAPS 下。您可以看到存在四个设置。我们将配置所需的内容。

右键单击策略设置启用本地管理员密码管理，然后单击属性。由于我们想要管理本地管理员密码，因此我们将启用策略设置。单击确定。

LAPS密码设置

接下来编辑密码设置策略。默认情况下，此解决方案使用最大密码复杂度的密码（14 个字符），并且每 30 天更改一次密码。

您可以通过编辑组策略来更改这些值以满足您的需要。您可以更改个人密码设置以满足您的需要。单击“确定”。

管理员帐户名称 - 如果您决定管理自定义本地管理员帐户，则必须在组策略中指定其名称。我尚未配置此策略设置。

防止密码重置的计划时间过长 - 如果您不想允许设置管理员帐户的计划密码过期时间超过密码最长期限，则可以在 GPO 中执行此操作。

如果您想使用 powershell 查看计算机的密码设置，Get-AdmPwdPassword 将为您提供帮助。

• 导入模块 AdmPwd.PS
• Get-AdmPwdPassword -Computername“计算机名称”

如果没有被授予查看本地管理员密码权限的用户尝试访问它会发生什么？如果他们要访问 GUI 界面，密码将不会显示。

对于 GUI 用户来说，有一种很酷的方法可以找到密码设置。以管理员身份运行 AdmPwd.UI 文件。该文件位于 C:\Program Files\LAPS 文件夹下。

在 LAPS UI 窗口中，输入计算机名称并单击搜索。除了密码之外，过期信息也是可见的。

在客户端计算机上执行 gpupdate。现在查看计算机对象的属性并查看新设置。密码是可见的（纯文本）。