本地管理員密碼解決方案(LAPS)部署

過去，可使用組策略首選項來更新加入域的計算機的本地管理員密碼。在組策略管理控制檯（GPMC）中，右鍵單擊組策略對象（GPO），而後轉到「計算機配置」>「首選項」>「控制面板設置」>「本地用戶和組」。右鍵單擊右側的打開區域，而後選擇「 新建」>「本地用戶」。

在「新建本地用戶屬性」窗口上，您能夠將「用戶名」字段更改成Administrator（內置），可是您會很快注意到，「密碼」和「確認密碼」字段顯示爲灰色，而且不能在具備如下功能的任何Management Station上使用已徹底修補

2014年5月，Microsoft發佈了有關組策略首選項中存儲的密碼的安全公告MS14-025。這些使用CPassword屬性的密碼使用易於逆轉的加密。這意味着任何有權訪問Sysvol文件夾的用戶（AD中的全部人）均可以拉出任何包含CPasswords的GPO，反轉加密以及學習使用組策略首選項修改的本地賬戶（包括管理員賬戶）的密碼。此外，因爲將密碼更改推送到系統的整個組織單位（OU），所以***者能夠當即知道正在從GPO接收設置的全部系統的密碼。

MS14-025安全公告包含一個更新，該更新禁用使用組策略首選項更新本地用戶賬戶密碼以及CPassword的其餘用法（例如映射驅動器，服務，計劃的任務和ODBC數據源）的功能。換句話說，請勿使用組策略首選項來管理本地管理員賬戶的密碼。

LAPS介紹

LAPS容許您在加入域的狀況下管理本地管理員密碼（隨機，惟一且按期更改）電腦。這些密碼集中存儲在Active Directory中，而且僅限使用ACL的受權用戶使用。使用Kerberos v5和AES從客戶端到服務器的傳輸密碼受到保護。

這個功能實現的是讓加域的客戶端本地administrator帳號密碼隨機化（每一臺都不同的複雜隨機密碼），而且隨機化密碼存儲在AD上能夠查詢到，避免***者猜出一臺就等於猜出一片，從客戶端到服務器的傳輸過程採用Kerberos v5和AES保護

LAPS要求

LAPS須要.NET Framework 4.0和PowerShell 2.0或更高版本。在LAPS將管理本地管理員密碼的服務器系統上，您必須運行Windows Server 2003 SP1或更高版本；在臺式機系統上，您必須運行Windows Vista SP2或更高版本。（很抱歉，但不支持Windows XP。）對於全部臺式機和服務器客戶端系統，必須安裝包含組策略客戶端擴展（CSE）的MSI文件，才能管理本地管理員密碼。

您的Active Directory環境至少須要運行Windows Server 2003 SP1，而且須要架構更新以支持LAPS來添加ms-Mcs-AdmPwd和ms-Mcs-AdmPwdExpirationTime屬性。這些屬性用於存儲本地管理員密碼和密碼的到期時間。

LAPS限制

LAPS的最大侷限性是須要更新Active Directory架構。對於某些組織來講，這不是問題。可是對於其餘組織而言，很難經過變動控制流程來測試和批准架構變動。

若是您建立本身的本地管理員賬戶，LAPS也只能管理加入域的計算機上的本地管理員賬戶或自定義的本地管理員賬戶。（注意：若是您選擇重命名該賬戶，它還能夠管理本地Administrator賬戶的密碼。）若是計算機未加入域，則將沒法使用LAPS。對於諸如SQL或計劃任務之類的事情，LAPS也沒法管理其餘本地服務賬戶。

若是您只是想在工做站和服務器的本地Administrator賬戶上輪換密碼，Microsoft Local Administrator密碼解決方案是您組織的免費，易於使用的選項。

在域控上安裝LAPS軟件

接下來，咱們須要打開一個具備管理員權限的PowerShell窗口。在PowerShell提示符下，加載LAPS模塊，而後運行

Import-Module AdmPwd.PS

Update-AdmPwdADSchema

可使用ADSIEdit驗證此架構擴展的結果。咱們能夠鏈接到默認命名上下文，展開具備至少一個計算機對象的任何OU，而後詢問任何計算機對象的屬性。在屬性列表中，咱們應該有兩個新條目：ms-Mcs-AdmPwd（密碼爲明文，握住咱們可使用ACL進行保護的馬！）和ms-Mcs-AdmPwdExpirationTime（密碼到期時）

更新Active Directory架構後，咱們須要檢查AD中的權限，以確保只有受權的用戶和組才能查看存儲在此處的密碼。默認狀況下，域管理員和企業管理員將有權查看存儲的密碼以及您委派的任何其餘組或用戶。首先，打開PowerShell窗口，並確保已加載AdmPwd.PS模塊。而後，咱們可使用Find-AdmPwdExtendedRights cmdlet查看哪些用戶和組有權訪問存儲的密碼：

Import-Module AdmPwd.PS

Find-AdmPwdExtendedRights -Identity "corp"

正如您在上面的屏幕截圖中所看到的，我沒有任何用戶不該該在個人AD環境中訪問。若是確實有一些用戶不該該查看顯示在「 ExtendedRightHolders」中的存儲的密碼信息，則須要刪除他們對「全部擴展權限」的訪問權限。在「 Active Directory用戶和計算機（ADUC）」中，單擊「 查看」，並確保已選中「 高級功能」。右鍵單擊OU名稱，而後單擊屬性，安全性和高級。

接下來，選擇不具備訪問權限的組（或用戶）以查看託管的管理員密碼，而後單擊「 編輯」。清除全部擴展權限複選框。單擊肯定兩次以保存更改。

若是要授予其餘組訪問權限以查看密碼，則可使用Set-AdmPwdReadPasswordPermission cmdlet使用戶或組可以讀取屬性：

Import-Module AdmPwd.PS

Set-AdmPwdReadPasswordPermission -Identity "Corp" -AllowedPrincipals "HelpDesk"

Find-AdmPwdExtendedRights -Identity "corp"

另外一個關鍵配置是爲計算機分配權限，以在Active Directory中寫入密碼。咱們能夠手動執行此操做，可是最好的方法是使用Set-AdmPwdComputerSelfPermission cmdlet。咱們只須要提供要分配該權限的OU。結果將是一個SELF對象，該對象在ms-Mcs-AdmPwd和ms-Mcs-AdmPwdExpirationTime屬性上得到寫權限

最後，咱們須要使計算機可以更新Active Directory中的ms-Mcs-AdmPwd和ms-Mcs-AdmPwdExpirationTime屬性。首先從新加載模塊（若是還沒有加載模塊），而後運行Set-AdmPwdComputerSelfPermission

Import-Module AdmPwd.PS

Set-AdmPwdComputerSelfPermission -Identity "Corp"

您將須要爲每一個擁有受管理計算機的OU（而不是子OU）運行此命令，由於新權限將應用於子OU。

此時，咱們的Active Directory基礎結構已配置爲支持新的Active Directory屬性和這些屬性的權限。

更新Active Directory（AD）架構和權限後，設置Microsoft本地管理員密碼解決方案（LAPS）的最後一步是安裝客戶端應用程序並配置組策略

接下來，打開組策略管理控制檯（GPMC），而後爲您的計算機編輯現有的組策略對象（GPO）或建立一個新的組策略對象，而後單擊鼠標右鍵進行編輯。在GPO中，轉到「計算機配置」>「策略」>「管理模板」>「 LAPS」

首先，您須要經過將「啓用本地管理員密碼管理」策略設置爲Enabled來啓用 LAPS密碼管理

接下來，您將要啓用密碼設置並配置密碼選項。使用此設置，您能夠配置複雜性（大寫字母，小寫字母，數字和特殊字符），長度和最長密碼使用期限

即便您已在任何系統上重命名了Administrator賬戶，LAPS仍可使用其衆所周知的SID檢測本地Administrator賬戶。若是您建立了輔助本地管理員賬戶，而且但願LAPS管理其密碼，則可使用「要管理的管理員賬戶名稱」策略來設置該賬戶的用戶名

接下來就是安裝客戶端

MSI文件默認爲僅安裝組策略位，而無需任何添加

您可使用所選的部署工具並運行

# For 64-bit/x64 systems

msiexec /q /i <a href="file:///\\server\path\LAPS.x64.msi">\\server\path\LAPS.x64.msi</a>

# For 32-bit/x86 systems

msiexec /q /I <a href="file:///\\server\path\LAPS.x86.msi">\\server\path\LAPS.x86.msi</a>

或

Msiexec /I C:\Temp\LAPS.x64.msi /quiet

備註：LAPS僅支持Windows Vista和更高版本的客戶端系統以及Windows Server 2003 SP1服務器以上系統。若是您的環境中仍然有Windows XP，則不包括對Windows XP的支持。

使用GUI查看密碼

有兩種方法能夠查看具備LAPS管理的管理員密碼的計算機的密碼。第一種方法是使用Active Directory用戶和計算機（ADUC）。在ADUC中，單擊「 查看」，而後確認「高級功能」已被選中。若是不是，單擊它將啓用高級功能

找到計算機，雙擊它，而後單擊「 屬性編輯器」選項卡。若是缺乏「屬性編輯器」選項卡，則說明您還沒有啓用「高級功能」，或者您所使用的賬戶對計算機對象沒有適當的權限。向下滾動，直到找到ms-Mcs-AdmPwd屬性以查看密碼

若是您安裝了用於LAPS的整套管理工具，則「胖客戶端UI」將安裝在Management Station上。實際安裝的應用程序稱爲LAPS UI，能夠在「開始」屏幕上找到（須要右鍵以管理員身份打開）

運行LAPS UI應用程序時，須要輸入計算機的全名。不幸的是，LAPS應用程序當前不容許您在Active Directory中搜索計算機。所以，您須要知道計算機的全名。輸入計算機名稱後，單擊「 搜索」按鈕將顯示當前的管理員密碼以及密碼到期的日期和時間。LAPS UI應用程序還容許您設置新的到期時間或強制當即到期。若是密碼或有效期字段爲空，則您正在使用的賬戶極可能沒有足夠的權限來讀取AD中的屬性

使用PowerShell查看密碼

管理工具還包括一個PowerShell模塊，您可使用該模塊查看密碼和強制到期。首先，您須要加載AdmPwd.PS模塊，而後使用

Import-Module AdmPwd.PS

Get-AdmPwdPassword -ComputerName Win8-pc

若是須要強制更改密碼，則可使用Reset-AdmPwdPassword cmdlet強制當即更改密碼

使用Reset-AdmPwdPassword強制重置本地管理員密碼

Reset-AdmPwdPassword -ComputerName win8-pc

添加-WhenEffective容許您控制密碼在計算機上更新的日期和時間：:

Reset-AdmPwdPassword -ComputerName win8-pc -WhenEffective "4.28.2020 18:00"