逐步配置 Windows LAPS

再见，Microsoft LAPS，热烈欢迎 Windows LAPS。 Windows LAPS 终于可用于云和本地环境。每个管理员都应在 Active Directory 中设置 Windows LAPS，以便更轻松地管理加入域的设备的本地密码。在本文中，您将逐步了解如何安装 Windows LAPS。

什么是 Windows LAPS？

Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能，可自动管理和备份已加入 Azure Active Directory 或 Windows Server Active Directory 的设备上的本地管理员帐户的密码。您还可以使用 Windows LAPS 自动管理和备份 Windows Server Active Directory 域控制器上的目录服务还原模式 (DSRM) 帐户密码。授权管理员可以检索 DSRM 密码并使用它。

您可能已经熟悉称为本地管理员密码解决方案 (LAPS) 的现有 Microsoft 安全产品。 LAPS 已在 Microsoft 下载中心提供多年。它用于通过定期轮换密码并将其备份到Active Directory（AD）来管理指定本地管理员帐户的密码。事实证明，LAPS 是 AD 企业本地安全的重要且强大的构建块。我们亲切地将这款较旧的 LAPS 产品称为“Legacy LAPS”。

Windows LAPS 不需要您安装旧版 LAPS。您可以完全部署和使用所有 Windows LAPS 功能，而无需安装或引用旧版 LAPS。

注意：该功能开箱即可使用。您不再需要安装外部 MSI 包！ Microsoft 将通过正常的 Windows 修补流程提供未来的修复或功能更新。

Windows LAPS 的优势

使用 Windows LAPS 的好处：

• 使用 Windows LAPS 定期轮换和管理本地管理员帐户密码并获得以下好处：

• 防止哈希传递和横向遍历攻击

• 提高了远程帮助台场景的安全性

• 能够登录并恢复原本无法访问的设备

• 用于保护 Windows Server Active Directory 中存储的密码的细粒度安全模型（访问控制列表和可选的密码加密）

• 支持 Azure 基于角色的访问控制模型，以保护存储在 Azure Active Directory 中的密码

Windows LAPS 管理

以下选项可用于管理和监控 Windows LAPS：

• Windows Server Active Directory 用户和计算机属性对话框

• 专用事件日志通道

• 特定于 Windows LAPS 的 Windows PowerShell 模块

不再像旧版 Microsoft LAPS 中那样存在专用 LAPS 管理客户端 (LAPS UI)。

Windows LAPS 要求

Windows LAPS 可在安装了指定更新或更高版本的以下操作系统平台上使用：

• Windows 11 22H2 - 2023 年 4 月 11 日更新

• Windows 11 21H2 - 2023 年 4 月 11 日更新

• Windows 10 - 2023 年 4 月 11 日更新

• Windows Server 2022 - 2023 年 4 月 11 日更新

• Windows Server 2019 - 2023 年 4 月 11 日更新

注意：使用 Windows LAPS 没有许可证要求，并且它已集成到 Windows 操作系统中。

您想了解组织中正在运行哪些 Windows 操作系统版本吗？请阅读文章导出 Windows 操作系统版本号。

如何配置 Windows LAPS

要在 Active Directory 中配置 Windows LAPS，请执行以下步骤：

1.更新Windows服务器

确保在所有域控制器上运行 Windows 更新。如果您仅更新 1x 域控制器并扩展 Active Directory 架构（下一步），则会引发错误。

了解更多：使用 PowerShell 脚本进行 Active Directory 运行状况检查 »

2. 扩展 Active Directory 架构

不需要像我们习惯的 Microsoft LAPS 那样在域控制器上下载和安装 Windows LAPS 客户端，因为它已经集成到 Windows Server 2019 及更高版本中。

1. 在域控制器上以管理员身份运行 PowerShell。

2.运行ipmo LAPS导入LAPS模块。

PS C:\> ipmo LAPS

3.运行gcm -Module LAPS命令验证LAPS模块是否已加载。

注意：如果运行上述命令后没有输出，您必须将 Windows Server 更新到支持的版本（见上文）。

PS C:\> gcm -Module LAPS

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Function        Get-LapsAADPassword                                1.0.0.0    LAPS
Function        Get-LapsDiagnostics                                1.0.0.0    LAPS
Cmdlet          Find-LapsADExtendedRights                          1.0.0.0    LAPS
Cmdlet          Get-LapsADPassword                                 1.0.0.0    LAPS
Cmdlet          Invoke-LapsPolicyProcessing                        1.0.0.0    LAPS
Cmdlet          Reset-LapsPassword                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADAuditing                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADComputerSelfPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADPasswordExpirationTime                   1.0.0.0    LAPS
Cmdlet          Set-LapsADReadPasswordPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADResetPasswordPermission                  1.0.0.0    LAPS
Cmdlet          Update-LapsADSchema                                1.0.0.0    LAPS

4. 运行Update-LapsADSchema cmdlet，按A，然后按Enter。

PS C:\> Update-LapsAdSchema

The 'ms-LAPS-Password' schema attribute needs to be added to the AD schema.
Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

3. 检查LAPS属性

要验证 LapsAdSchema 是否成功运行，请使用 -Verbose 参数再次运行 Update-LapsAdSchema。

PS C:\> Update-LapsAdSchema -Verbose

输出的结尾很重要，它表明 LAPS 模式已经使用以下属性成功扩展：

• msLAPS-密码过期时间

• msLAPS-密码

• msLAPS-加密密码

• msLAPS-加密密码历史记录

• msLAPS-加密DSRM密码

• msLAPS-加密DSRM密码历史记录

VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-PasswordExpirationTime
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-Password
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has all expected LAPS-related mayContains
VERBOSE:
VERBOSE: ProcessRecord completed
VERBOSE:
VERBOSE: EndProcessing started
VERBOSE: EndProcessing completed

转到 Windows 10/Windows 11 AD 对象属性并选择属性选项卡。

注意：如果您没有看到属性编辑器选项卡，请单击查看菜单栏中的“Active Directory 用户和计算机”，然后启用高级功能。

您还将看到LAPS选项卡，您可以单击它。但目前它是空的，一旦您完成所有步骤，它就会填充信息。

4.设置LAPS AD计算机权限

受管设备需要获得更新密码的权限。此操作是通过在设备所在的组织单位 (OU) 上设置可继承权限来执行的。该设置也将应用于所有嵌套 OU。

在我们的示例中，我们希望在 Company OU 上设置权限。

使用 Set-LapsADComputerSelfPermission cmdlet 设置 Company OU 的权限。

注意：您在其他 OU 中是否有计算机？您需要重复以下操作并添加已添加计算机的 OU。

PS C:\> Set-LapsADComputerSelfPermission -Identity "Company"

Name    DistinguishedName
----    -----------------
Company OU=Company,DC=exoip,DC=local

假设由于 OU 名称在 Active Directory 中多次使用而失败，则复制 DistinguishedName 并将其放入命令中。

PS C:\> Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"

5. 设置 LAPS GPO

为 LAPS 配置 GPO 并启用其设置。

1. 在域控制器上启动组策略管理。

2. 右键单击桌面 OU。

3. 单击在此域中创建 GPO，并将其链接到此处。

新的组策略对象 (GPO) 是用户策略还是计算机策略？或者您会将用户和计算机策略设置放在 GPO 中吗？如果是计算机策略，我们建议在组策略名称前放置C_。如果是用户策略，请将其设为 U_。您想要在新的组策略对象中添加计算机和用户策略设置吗？将其命名为CU_。

• C 代表计算机策略

• U 代表用户政策

• CU 代表计算机和用户策略

在我们的示例中，GPO 是计算机策略，因此名称将以 C_ 开头。

4. 将该策略命名为：C_LAPS。

5. 右键单击C_LAPS GPO，然后单击编辑。

6. 导航至计算机配置 > 策略 > 管理模板 > 系统 > 圈数。

7.双击配置密码备份目录设置。

8. 选择启用并选择备份目录Active Directory。

重要提示：您必须启用设置并选择Active Directory或Azure Active Directory。否则，本地管理员密码不受管理并且不起作用。

9.双击密码设置设置。

10. 选择启用并配置密码复杂性。

11.双击要管理的管理员帐户名称设置。

12. 选择启用并插入管理员帐户名称lapsadmin。

13. 这就是 LAPS GPO 状态的样子。

6. 创建本地管理员帐户

在上一步中，我们确实启用了要管理的管理员帐户名称设置，并设置了管理员帐户名称：lapsadmin。

LAPS GPO 不会在所有计算机上创建您的本地管理员帐户。这是您必须使用另一个 GPO、PowerShell 脚本或其他选择来处理的事情。

重要提示：出于安全目的，禁用所有其他本地管理员帐户并确保仅启用 lapsadmin 帐户。

这就是它在计算机上的样子。

注意：完成上述所有步骤后，重新启动加入域的 Windows 计算机以使更改生效。

Windows LAPS 配置已成功完成。

获取 LAPS 密码

现在让我们看看如何在 GUI 和 PowerShell 中检索 LAPS 密码。

使用 GUI 获取 LAPS 密码

直接从 Active Directory 用户和计算机控制台获取 LAPS 密码。

1. 启动Active Directory 用户和计算机。

2. 转到 AD 计算机对象属性。

3. 选择圈选项卡。

您将看到这些字段现在已被填充并且不再是空的。这意味着Active Directory与Windows计算机连接并同步了信息。

4.点击显示密码。

使用 PowerShell 获取 LAPS 密码

获取 LAPS 密码和信息的一个绝佳方法是使用 PowerShell。

1. 以管理员身份运行 PowerShell

2. 运行Get-LapsADPassword cmdlet 并填写目标计算机，包括-AsPlaintText 参数。

PS C:\> Get-LapsADPassword "WIN10" -AsPlainText


ComputerName        : WIN10
DistinguishedName   : CN=WIN10,OU=Desktops,OU=Company,DC=exoip,DC=local
Account             : lapsadmin
Password            : .[lBkDWXy1&kg3
PasswordUpdateTime  : 4/17/2023 10:23:46 AM
ExpirationTimestamp : 5/17/2023 10:23:46 AM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : EXOIP\Domain Admins

使用 LAPS 密码登录

请始终测试一切是否按预期运行并测试 LAPS 本地管理员帐户密码。

使用本地管理员帐户 lapsadmin 和计算机 LAPS 中显示的密码登录。

我们已使用从 Active Directory (LAPS) 生成的本地管理员密码成功登录 Windows 10 计算机。

重置 Windows LAPS 密码

有时您想要重置 Windows LAPS 密码。

1.点击立即过期。

2. 在 Windows 计算机上运行 GPO 更新并验证 LAPS 本地管理员帐户密码是否已重置。

3. 您还可以在 Windows 计算机上运行 Reset-LapsPassword cmdlet。

Reset-LapsPassword

4. 它将重置当前/新密码过期时间和 LAPS 本地管理员帐户密码。

您已在 Active Directory 中成功设置 Windows LAPS 并测试一切正常。

阅读更多内容：为组策略管理模板创建中央存储 »

结论

您学习了如何在 Active Directory 中配置 Windows LAPS。 Windows 本地管理员密码解决方案是一项出色的 Windows 功能，用于管理加入域的计算机的本地管理员密码。配置一次，微软将通过Windows Update自动为其推送更新。

您喜欢这篇文章吗？您可能还喜欢使用组策略管理 Microsoft Office。不要忘记关注我们并分享这篇文章。