使用LAPS管理本地管理員密碼(1)

在平常工做中會碰到一些客戶端本地管理員密碼管理不方便的狀況,不能批量\方便的進行客戶端管理員密碼的設定,

或者是統一設定密碼後一旦密碼泄露將會影響全部的客戶端等一系列的問題.

微軟推出了Local Administrator Password Solution (LAPS)就可以很好的解決這個問題.

 

測試環境:

域 控：Windows Server 2012R2

新建OU：Client和User

Client用來存放客戶端和

User存放新建的兩個用戶分別是張三(普通用戶)和李四(桌面管理員)

新建組：LAPAdmins 將李四加入此組

客戶端：Windows 7

1. 運行下載好的LAPS.x64.msi .域控上僅勾選後兩個選項就夠了.

2. 擴展AD的架構

使用管理員權限運行POWERSHELL

使用Import-module AdmPwd.PS導入Admpwd.ps模塊

使用Update-AdmPwdADSchema擴展架構

3. 擴展屬性設置

運行ADSIEdit.msc打開ADSI屬性編輯器

右鍵鏈接到默認命名上下文

右鍵點擊Client的OU 選擇屬性>安全>高級,在不但願他訪問到這個屬性的賬號中取消全部擴展權限前的勾.

注意:這會隱式拒絕這個用戶訪問全部的擴展權限.默認狀況下不設置這一步也能夠正常使用,在此僅爲你們提供一個權限管理的思路供參考.

而後咱們可使用下面的命令查詢一下Client這個OU的訪問權限

4. 使用如下命令授予計算機修改本機ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd這兩個擴展屬性的權限。

5. 使用如下命令設置讀取計算機擴展屬性的權限組爲LAPAdmins

使用如下命令設置重置密碼的權限組爲LAPAdmins

到這裏，擴展和權限設置的工做就作完了.關於權限的設置你們能夠靈活的根據本身的實際須要進行配置.畢竟每一個環境的需求都是不同的.

6. 組策略的設置分爲兩部分:客戶端分發策略和密碼設置策略.

由於提供了MSI的包,因此軟件的分發很是方便.新建一條GPO:LAPS Setup。以下圖設置，其餘頁保持默認便可。而後將這條組策略連接至咱們創建的User這個OU。

咱們再新建一個GPO：LAPS Setting來對密碼重置的策略進行設置。

打開計算機配置咱們發現有一個LAPS的模板提供了4條策略可使用。

首先是密碼的設置，提供了多種複雜度的組合方式、密碼長度和密碼重置週期的設置。

接下來是輸入本地管理員的用戶名,若是你修改的不是內置的Administrator，請在這裏指定你但願修改的用戶名，在未配置的狀況下默認爲內置的Administrator。

接下來這一項是爲了重置週期與密碼有效期策略配合使用的設置。由於不少公司都有本身的密碼過時策略，啓用這一項能夠避免兩個配置發生衝突。

最後一項啓用配置後確認對本地管理員密碼開始進行設置。

 

以上，4條策略的配置就已經完成。將這條GPO連接至Client這個OU上，AD上的設置就已經完成了。

7. 最後，咱們檢驗一下效果。

使用域用戶登錄，以確保組策略生效自動安裝客戶端工具，正常登錄後以下圖：

安裝完成後從新啓動系統就能夠在AD的計算機帳戶中看到ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd兩個的值已經記錄了新的密碼和重置時間了.

至此已經完成了全部的設定與測試.後續我會再更新一篇文章簡單說一下在應用場景中會碰到的一些狀況和解決的方法.

 

LAPS工具下載地址:點我下載