如何部署 Windows LAPS - [分步]

---

Windows LAPS 是一项 Windows 功能，允许您自动设置和备份已加入域的设备的本地管理员密码。 LAPS（本地管理员密码解决方案）为网络中的每个设备创建唯一的随机密码，并将其存储在 Active Directory 或 Azure Active Directory 中。

Windows LAPS 是旧版 Microsoft LAPS 的后继者，后者已在过去几年中推出。新的Windows LAPS具有更多功能，现已内置于Windows 10和11中。因此我们不再需要在计算机上安装客户端。

在本文中，我们将了解 Microsoft LAPS 和 Windows LAPS 之间的区别、如何安装和配置新的 LAPS，以及如何从旧版 LAPS 迁移到 Windows LAPS。

什么是 Windows LAPS？

您可以轻松更改域管理员帐户的密码，但是本地管理员帐户呢？本地管理员帐户的密码通常在安装过程中设置，但您无法在所有计算机上轻松更改它。这就是 Windows LAPS 的用武之地。LAPS 代表本地管理员密码解决方案。

借助 LAPS，我们可以在每台计算机上自动设置唯一的本地管理员密码，这些密码存储在 Azure Active Directory 或本地 Active Directory 中。默认情况下，密码每 30 天自动更改一次。 Windows LAPS 还可用于管理和备份 Active Directory 的 DSRM（目录服务还原模式）密码。

Microsoft LAPS 与 Windows LAPS

Windows LAPS 是 Microsoft LAPS 的后继者，后者已推出多年。那么这两个版本有什么区别呢？最重要的变化是新版本内置于 Windows 中。这意味着我们不再需要在客户端上安装 MSI。但还有更多优点：

• 将密码存储在 Azure AD 中 - 更轻松地检索密码

• 密码历史记录 - 查看以前的密码，对于恢复方案很有用

• 加密密码 - 提高本地 Active Directory 的安全性

• 自动轮换密码 - 帐户使用后重置密码

• 使用 Microsoft Graph 查看 - 您可以使用 Microsoft Graph 检索密码

• DSRM 密码备份 - 保护并轮换域控制器恢复密码

• 新的 PowerShell 模块 - 通过 PowerShell 为您提供更多控制

• 专用事件日志 - 更轻松地解决问题

要求

要使用 Windows LAPS，您需要确保您的计算机和服务器安装了 2023 年 4 月 11 日起的最新安全更新。支持以下操作系统：

• Windows 11 专业版、教育版和企业版

• Windows 10 专业版、教育版和企业版

• Windows Server 2022

• Windows 服务器 2019

在开始安装之前，请确保所有域控制器均已完全更新。

如何安装 Windows LAPS

如果您的设备是通过 Intune 管理的，则建议使用 Windows LAPS 配置服务提供商来推出 LAPS。当您不使用 Intune 时，您仍然可以使用本地 Active Directory 部署 LAPS。

我将从本地 Active Directory 开始解释这两种方法。

在本地 Active Directory 上部署 LAPS

当您拥有完整的本地环境以及本地 Active Directory 与 Azure Active Directory 同步的混合环境时，可以使用此方法。

步骤 1 - 扩展 AD 架构

第一步是扩展 Active Directory 架构。我们在一个域控制器上执行此操作，然后该域控制器会自动将新架构同步到林中的其他域控制器。

要更新 AD 架构，请在域控制器上打开 PowerShell (Admin) 并运行以下命令：

Update-LapsADSchema

如果您想继续，请在问题上按 A（全部是）。如果您在运行 Update-LapsADSchema 命令时遇到错误，请查看文章末尾的常见问题解答以获取可能的解决方案。

我们可以通过打开 Active Directory 中的计算机对象来验证 Active Directory 架构扩展。您现在将看到新的LAPS 选项卡。

第 2 步 - 设置权限

计算机需要有权在 Active Directory 中更新其密码。为此，我们借助 PowerShell 中的 Set-LapsADComputerSelfPermission cmdlet 在计算机的 OU 上设置可继承权限。

我们需要指定 OU 名称，如果该名称在您的 Active Directory 中不唯一，那么您将需要指定 DistinguishedName。

Set-LapsADComputerSelfPermission -Identity "Computers"

# Or with the full distinguishedName:
Set-LapsADComputerSelfPermission -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=a-d,DC=nl"

步骤 3 - 配置 LAPS 组策略

要配置 LAPS，我们需要创建一个新的组策略。

1. 在域控制器上打开组策略管理

2. 在您的计算机 OU 中创建新的计算机策略(CPO_LAPS)

3. 编辑新策略并导航至计算机配置 > 策略 > 管理模板 > 系统 > LAPS

笔记

如果在“管理模板”>“系统”下没有看到 LAPS，则将 ADMX 文件从 C:\Windows\PolicyDefinitions 复制到中央存储：\contoso.com\SYSVO

1. 打开配置密码备份目录并将其设置为Active Directory或Azure Active Directory。确保您的设备在您选择的 AD 中进行管理。

1. 打开密码设置并启用该设置。 （可选）更改配置。

2. （可选）打开要管理的管理员帐户名称，启用它，并将帐户名称设置为 LAPSAdmin。如果您不配置此设置，则将使用内置管理员帐户。

您可能还需要启用其他一些设置。我建议至少启用身份验证后操作设置。使用 LAPS 密码时会触发此设置。它将重置密码，并可选择在 8 小时后注销管理帐户：

如果您从计算机创建快照，那么启用密码历史记录设置可能会很有趣。这将在 AD 中存储最后 12 个密码，以便您在恢复旧快照时可以使用本地管理员帐户登录。要使用此设置，您还需要启用密码加密。

第 5 步 - 创建本地管理员帐户

新的 Windows LAPS 功能不会像旧版 LAPS 那样自动创建本地管理员帐户。最简单的选择是使用内置管理员帐户，并且不要为圈数配置唯一的管理员帐户。

但如果您仍想使用专用帐户，则需要使用 PowerShell 创建一个新的本地管理员帐户。我们可以将以下PowerShell脚本添加到组策略中的启动脚本中（计算机配置> Windows设置>脚本>启动）

If ($null -eq (Get-LocalUser -Name "lapsadmin")){
  New-LocalUser -AccountNeverExpires:$true -Password ( ConvertTo-SecureString -AsPlainText -Force 'TempPassword123!') -Name 'lapsadmin' | Add-LocalGroupMember -Group administrators
}

第 6 步 - 验证设置

为了验证设置，我们需要安装了最新更新的 Windows 10 或 11 设备。我们首先需要将最新的策略设置拉取到设备，以便创建 LAPS 密码并将其写回 Active Directory。您可以运行 GPUpdate 命令或特殊的 LAPS 策略 cmdlet Invoke-LapsPolicyProcessing：

Invoke-LapsPolicyProcessing

检索策略后，我们可以验证 Active Directory 中的 LAPS 密码。查找设备并打开属性。如果您打开 LAPS 选项卡，您将看到 LAPS 密码：

使用 PowerShell 管理 LAPS

Windows LAPS PowerShell 模块现已包含在 Windows 中。这意味着我们不必导入新模块来使用 PowerShell 管理 LAPS。我不会详细介绍所有 cmdlet（您可以在此处找到完整列表），但我们将讨论最重要的 cmdlet。

我们可以使用cmdlet Get-LapsADPassword来查看LAPS密码。确保添加参数 -AsPlainText 以实际查看密码。

Get-LapsADPassword -Identity la-win11-lab04 -AsPlainText


ComputerName        : LA-WIN11-LAB04
DistinguishedName   : CN=LA-WIN11-LAB04,OU=Computers,OU=Amsterdam,OU=Sites,DC=a-d,DC=nl
Account             : lapsadmin
Password            : WQ3rjA1.%0]z];
PasswordUpdateTime  : 4/25/2023 7:50:36 PM
ExpirationTimestamp : 5/25/2023 7:50:36 PM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : LAZYADMIN\Domain Admins

现在我建议配置策略以在使用密码后自动重置密码。但我们也可以使用 PowerShell 重置（轮换）密码。此 cmdlet 需要在端点上运行，或者您需要使用 Invoke-Command 远程运行命令

Reset-LapsPassword

# Run it on a remote computer
Invoke-Command -ComputerName LA-Win11-Lab04 -ScriptBlock {Reset-LapsPassword}

查看 LAPS 密码权限

要使用 PowerShell 查看密码，您需要对计算机的 OU 具有 LAPS 密码读取权限。默认情况下，域管理员拥有此权限，但您可能还想向帮助台管理员授予读取权限。

我们可以在 PowerShell 中使用 Set-LapsADReadPasswordPermission cmdlet 添加权限。您需要指定要授予访问权限的 OU 和用户或组：

Set-LapsADReadPasswordPermission -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=a-d,DC=nl" -AllowedPrincipals "Helpdesk Admins"

# Or add multiple users at once:
Set-LapsADReadPasswordPermission -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=a-d,DC=nl" -AllowedPrincipals @("[email ", "[email "

要验证权限，您可以使用 cmdlet Find-LapsADExetendedRights：

Find-LapsADExetendedRights -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=a-d,DC=nl"

使用 Intune 部署 LAPS

如果您的设备是通过 Intune 管理的，那么您还可以使用 Intune 部署 Windows LAPS。我们不需要安装任何东西，只需要在 Intune 中为端点创建新策略。在开始之前，我们需要确保在 Azure AD 中启用 LAPS：

1. 打开 Portal.azure.com

2. 单击Azure Active Directory

3. 打开设备>设备设置

4. 启用Azure AD 本地管理员密码解决方案 (LAPS)

5. 点击保存

在 Azure AD 中启用 LAPS 后，我们现在可以创建新策略：

1. 打开端点管理器 (Intune)

2. 转到端点安全 > 帐户保护

3. 创建新政策

4. 选择平台Windows 10 及更高版本和配置文件本地管理员密码解决方案

1. 为配置文件命名，例如 Windows LAPS

2. 在第2步中，我们至少需要配置以下设置：

3. 密码使用天数> 30

4. 密码复杂性> 选择选项之一

5. 密码长度 > 默认为14，您可以更改它。最小值为 8

6. 身份验证后操作 > 设置为重置密码并注销托管帐户。

7. 重置延迟 > 8小时

1. 您可以跳过范围标签

2. 分配> 添加包含要部署 Windows LAPS 的设备的组

1. 检查设置并创建新策略

创建并分配策略后，可能需要一些时间才能将其部署到所有端点。您可以通过打开设备并单击“同步”来强制在 Intune 管理中心同步策略。

要查看推出进度，您需要返回端点安全 > 帐户保护，打开新创建的策略，然后单击“查看报告”。

查看 LAPS 密码

我们有几个选项可以查看设备的 LAPS 密码。最方便的方法是打开 Azure AD 或 Intune (Endpoint Manager)。另一种选择是使用 PowerShell 和 Microsoft Graph 来检索密码，但这需要进行一些配置才能使用它。

要查看 Azure AD 中的密码，请打开“设备”并单击“本地管理员密码恢复”。这将为您提供 LAPS 处于活动状态的所有设备的列表，并允许您显示密码。

您还可以通过首先在 Azure AD 中打开设备来查看密码。另一种选择是使用 Intune（端点管理器）。如果您导航到设备并打开它，您将在侧边栏中看到本地管理员密码。单击它显示本地管理员密码：

将 Microsoft LAPS 迁移到 Windows LAPS

当您的环境中已运行旧的 Microsoft LAPS（旧版 LAPS）时，您可以轻松迁移到新的 Windows LAPS。需要注意的是，我们可以重复使用 LAPS 管理员帐户名，我们基本上将并行设置 Microsoft 和 Windows LAPS。如果新版本中一切运行良好，那么我们就可以删除旧版 LAPS。

第 1 步 - 部署 Windows LAPS

按照上述步骤安装 Windows LAPS，扩展 AD 架构、设置权限和配置策略。在策略中，确保使用唯一的本地管理员帐户名称，例如 lapsadmin2。

第 2 步 - 添加您设备的本地管理员帐户

我们需要在设备上手动创建新的本地管理员帐户。您可以使用前面描述的相同的 PowerShell 脚本：

If ($null -eq (Get-LocalUser -Name "lapsadmin2")){
  New-LocalUser -AccountNeverExpires:$true -Password ( ConvertTo-SecureString -AsPlainText -Force 'TempPassword123!') -Name 'lapsadmin2' | Add-LocalGroupMember -Group administrators
}

第 3 步 - 测试新的 Windows LAPS

您可以将新的 Windows LAPS 与旧的 LAPS 并行运行以测试新的解决方案。

第 4 步 - 删除旧版 LAPS

如果新解决方案按预期运行，那么我们可以开始从客户端删除旧版 LAPS。从设备中卸载 Microsoft LAPS 客户端，删除旧的 LAPS 管理员帐户并删除旧的策略。

LAPS 问题排查

解决策略问题总是有点困难。对于 LAPS，我们有几个选项来调试出现的任何问题。第一步是检查事件查看器。您可以在事件查看器中应用程序和服务 > Microsoft > Windows > LAPS 下找到与 LAPS 相关的所有事件：

如果您使用 Intune 部署 Windows LAPS，则还可以在 Intune 管理中心 (Endpoint Manager) 中查看报告。在端点安全>帐户保护中打开策略，然后单击“查看报告”。

另一种选择是使用 PowerShell 生成诊断报告。在端点上运行 cmdlet Get-LapsDiagnostics 以生成报告。在导出中，您将找到一个事件日志和 CSV 文件，其中包含与 LAPS 相关的所有事件。

常见问题解答

要扩展 AD 架构，您需要成为安全组架构管理员的成员，您可以在 Active Directory 中找到该安全组。确保在将帐户添加到架构管理员后注销/登录。

确保您已在 Windows 服务器上安装最新更新并在更新后重新启动服务器。

您需要在 Azure Active Directory 中启用 LAPS。在 Azure Active Directory 中，打开设备 设备设置并启用本地管理员设置。此错误也列在事件日志中的事件 ID 10059 下

总结

新的 Windows LAPS 比旧的 Microsoft LAPS 解决方案有了很大的改进。您需要的一切现在都内置于最新的 Windows 版本中，使其成为一个强大的解决方案。新版本的实施非常简单，特别是如果您使用 Microsoft Intune（端点管理器）。

我希望本文对您实施新的 LAPS 有所帮助。如果您有任何问题或提示，请在下面发表评论。