Microsoft LAPS 安装和设置指南

在本指南中，您将了解如何安装和配置 Microsoft LAPS。

Microsoft 本地管理员密码解决方案 (LAPS) 是一款免费工具，可在加入域的计算机上随机化本地管理员密码。这是确保本地管理员帐户拥有唯一密码并定期更改的最佳方式。

在所有计算机上使用相同的本地管理员密码会带来巨大的安全风险。这意味着如果一台计算机上的本地管理员密码被盗，那么所有计算机都可能受到威胁。针对此安全问题的最佳防御方法是在每台计算机上拥有唯一的本地管理员密码。

本文主题：

1. 在管理计算机上安装 Microsoft LAPS
2. 在客户端计算机上安装 Microsoft LAPS
3. 扩展 Active Directory 架构
4. 设置计算机对象权限
5. 设置用户权限（允许读取已存储密码的权限）
6. 组策略设置
7. 如何查看电脑密码

步骤 1：在管理计算机上安装 Microsoft LAPS 软件

管理计算机和客户端计算机都需要安装LAPS软件。管理功能将用于配置和管理 LAPS。

您可以在域控制器或其他加入域的计算机（例如 Windows 10 或 11）上安装 LAPS 管理功能。

1. 从下面的链接下载 LAPS 软件。

https://www.microsoft.com/en-us/download/details.aspx?id=46899

选择您想要的下载。我要下载 64 位版本。

2. 双击文件LAPS.x64.msi开始安装。

3. 在安装向导屏幕上单击“下一步”。

4. 接受许可协议并单击“下一步”。

5. 安装所有功能。

单击“管理工具”并选择“整个功能将安装在本地硬盘上”，然后单击“下一步”。

6. 单击“安装”。

安装完成后单击“完成”。

这样就完成了管理计算机的 LAPS 软件安装。在第 3 步中，我们将返回管理计算机来完成 LAPS 设置。

步骤 2. 在客户端计算机上安装 Microsoft LAPS

LAPS 组策略客户端扩展 (CSE) 需要安装在每台计算机上。这是通过使用步骤 1 中使用的相同安装程序文件 (LAPS.x64.msi) 来完成的。

安装 LAPS 客户端软件有多种不同的方法。如果要使用 GPO 部署软件，请参阅通过 GPO 部署软件一文。

要手动安装客户端软件，请运行 LAPS.x64.msi 文件并保留默认值。唯一应选择的功能是 AdmPwd GPO 扩展。

您还可以使用脚本、SCCM、PDQ 或任何其他软件部署程序进行部署。

以下是使用脚本进行部署的命令。

msiexec /q /i \server\share\LAPS.x64.ms

以下是在文件服务器上托管文件的示例。

msiexec /i \server\share\LAPS.x64.msi /quiet

步骤 3. 扩展 Active Directory 架构

Microsoft LAPS 对 Active Directory 中的计算机对象使用两个新属性。

• ms-Mcs-AdmPwd - 此属性保存计算机的管理员密码。
• ms-Mcs-AdmPwdExpirationTime - 此属性保存密码过期时间戳。

要启用这些新属性，需要扩展 Active Directory 架构。

请按照以下步骤操作。

1. 您需要使用 Active Directory 中方案管理员组成员的帐户登录。

2. 运行以下两个命令：

Import-module AdmPwd.PS
Update-AdmPwdADSchema

您应该获得如上面的屏幕截图所示的成功状态。

您现在应该在计算机对象上看到两个新属性。您可以通过在 Active Directory 中打开计算机上的属性编辑器来验证这一点。

目前，这些属性没有任何值，但将在 LAPS 设置完成后更新。

步骤 4. 设置计算机权限

需要为 SELF 内置帐户修改 ms-Mcs-AdmPwd 和 ms-Mcs-AdmPwdExpirationTime 属性的写入权限。这是必需的，以便计算机可以更新本地管理员密码的密码和过期时间戳。这是通过使用 PowerShell 完成的。

1. 首先，确定包含您的计算机对象的 OU。

例如，我的所有计算机都位于 OU“ADPRO Computers”中

2. 使用Set-AdmPwdComputerSelfPermission命令设置权限。

注意：您可能需要首先运行 import-module ADMPwd.ps。

Set-AdmPwdComputerSelfPermission -OrgUnit "ADPRO Computers"

在此示例中，我在 OU“ADPRO 计算机”上设置权限

您不需要在子 OU 上运行它。

步骤 5. 设置用户权限（允许读取已存储密码的权限）

默认情况下，只有 Domain Admins 组的成员才能读取计算机帐户存储的密码。您可以使用 PowerShell 添加其他用户或组。

在此示例中，我将添加组 it_wrk_admins 以有权查看本地管理员的密码。

打开 PowerShell 并运行以下命令。

Set-AdmPwdReadPasswordPermission -Identity "ADPro Computers" -AllowedPrincipals "it_wrk_admins"

要查看哪些用户或组具有权限，请运行以下命令。

   Find-AdmPwdExtendedRights -Identity "ADPro Computers"

在上面您可以看到域管理员和 it_wrk_admins 组具有扩展权限。

您只想允许批准的 IT 管理员有权读取密码。不应允许普通用户进行此访问。使用 Find-AdmPwdExtendedRights 命令查看哪些用户有权查看密码。

步骤 6. 组策略设置

最后一个配置步骤是为 LAPS 设置创建组策略。

提示：如果您配置了组策略中央存储，您首先需要将 AdmPwd.admx 和 AdmPwd.adml 文件从 c:\Windows\PolicyDefinitions 复制到中央存储中。

1. 打开组策略管理控制台。

2. 在包含您的计算机的 OU 上创建新的 GPO。

为 GPO 命名。我将我的计算机称为计算机 - LAPS。

3.编辑GPO

浏览到以下策略设置计算机配置 -> 策略 -> 管理模板 -> LAPS。

单击策略启用本地管理员密码管理。

单击“启用”，然后单击“确定”。

单击策略密码设置。

单击启用。然后配置密码复杂性设置并单击“确定”。

如果您希望 LAPS 管理自定义本地管理员帐户，则可以启用要管理的管理员帐户名称。

提示。您无需为内置管理员帐户配置此策略，即使您已重命名它。此策略仅适用于自定义本地管理员帐户。

例如，如果我有一个名为 IT_Admin 的自定义本地管理员帐户，我可以使用此策略让 LAPS 对其进行管理。

Microsoft Laps 的配置步骤就完成了。

如何查看本地管理员密码

在管理计算机上打开 LAPS UI 程序。

输入计算机名称并单击搜索。

在上面您可以看到 PC1 的本地管理员密码以及密码何时过期。

使用 PowerShell。

Get-AdmPwdPassword PC1

您还可以通过打开计算机并单击“属性编辑器”来查看 Active Directory 中的密码。唯一的问题是密码过期不是可读的格式。

另一种选择是使用 AD Pro Toolkit。它包括一个 LAPS 密码报告，可获取所有计算机上的 LAPS 密码。要运行此报告，请单击“报告”->“安全性”->“LAPS 密码”。

我希望这篇文章对您有所帮助。如果您有意见，请在下面发表。

相关内容

Windows LAPS 概述

Windows LAPS 中的关键概念

PowerShell 列出本地管理员

如何删除本地管理员权限