如何为 LAPS 配置 Active Directory

这篇文章介绍了为 LAPS 配置 Active Directory 的步骤。简而言之，我们将准备 Active Directory 来实施 LAPS。

在我之前的文章中，我们了解了如何安装和部署 Microsoft LAPS。我们在管理计算机上安装了 LAPS，并使用 GPO 将本地管理员密码解决方案部署到客户端计算机。

首先，Active Directory 架构必须通过两个新属性进行扩展。它们存储每台计算机的托管本地管理员帐户的密码。此外，还存储密码过期的时间戳。我们将通过导入 PowerShell 模块来更新架构。

如何为 LAPS 配置 Active Directory

要为 LAPS 配置 Active Directory，必须首先扩展 AD 架构。最重要的是，请确保您用于此过程的用户帐户应该是架构管理员 Active Directory 组的成员。

• ms-Mcs-AdmPwd - 以明文形式存储密码
• ms-Mcs-AdmPwdExpirationTime - 存储重置密码的时间

使用 PowerShell 更新架构

要更新架构，您首先需要导入 PowerShell 模块。打开管理 PowerShell 窗口并输入以下命令：

导入模块 AdmPwd.PS

Update-AdmPwdADSchema（此命令更新架构）

在下一步中，我们将授予计算机使用 Set-AdmPwdComputerSelfPermission 命令更新其密码属性的能力。

在此示例中，我在“Comps OU”中获得了客户端计算机。必须将所有计算机帐户的 ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd 属性的写入权限添加到 SELF 内置帐户。这是必需的，以便计算机可以更新其自己的托管本地管理员密码的密码和过期时间戳。如果这是一个新窗口，您可能需要运行 Import-module AdmPwd.PS。

Set-AdmPwdComputerSelfPermission -OrgUnit

对包含计算机帐户的任何其他 OU 重复此过程。

删除扩展权利

在下一步中，您必须限制特定用户和组查看密码的能力。因此，从不需要读取属性 ms-Mcs-AdmPwd 值的用户和组中删除“所有扩展权限”。这是必需的，因为所有扩展权限/权限还授予读取机密属性的权限。

如果要对所有计算机执行此操作，只需在包含这些计算机的每个 OU 上重复后续步骤。除非您禁用了权限继承，否则您可以在已处理的 OU 的子容器上跳过此操作。

1. 打开ADSIEdit
2. 右键单击包含要安装此解决方案的计算机帐户的 OU，然后选择属性。
3. 单击安全选项卡。
4. 单击高级。
5. 选择您不希望读取密码的组或用户，然后单击编辑。
6. 取消选中所有扩展权限。

要快速查找哪些安全主体拥有对 OU 的扩展权限，您可以使用 PowerShell cmdlet。如果这是一个新窗口，您可能需要运行Import-module AdmPwd.PS。

Find-AdmPwdExtendedrights -identity“OU NAME”

在下一步中，我们将向用户授予权限，以允许他们检索计算机的密码。我们将使用 Set-AdmPwdReadPasswordPermission 命令来执行此操作。

Set-AdmPwdReadPasswordPermission -OrgUnit -AllowedPrincipals