本地管理員密碼解決方案（LAPS）簡介

本地管理員賬戶密碼管理

編制人

傑裏·福爾馬切克

本地管理員密碼管理

數據表

出版：2015年6月

上次更新時間：2018年6月

做者：

JiriFrmacek，微軟

摘要：本文檔簡要概述了本地管理員密碼解決方案（LAPS）

版權全部©2015MicrsftCrpratin。保留全部權利。

1、概述

本地管理員解決方案自動管理加入域的計算機上的本地管理員密碼，所以密碼爲：

在每臺受管計算機上惟一

隨機生成

安全地存儲在AD基礎架構中

解決方案僅創建在AD基礎設施上，所以不須要安裝和支持其餘技術。

解決方案自己是一個組策略客戶端擴展，安裝在託管計算機上並執行全部管理任務

隨解決方案提供的管理工具容許輕鬆配置和管理。

2、架構

解決方案架構以下：

解決方案的核心是GP客戶端擴展（CSE），它在GP更新期間執行如下任務：

1. 檢查本地管理員賬戶的密碼是否已過時

2. 當舊密碼過時或須要在過時前更改時生成新密碼

3. 更改管理員賬戶的密碼

4. 將密碼報告給passwrdactivedirectry，並將其存儲在機密屬性中，計算機賬戶位於AD中

5. 將下一個過時時間報告給活動目錄，並將其存儲在AD中的計算機賬戶的機密屬性中

6. 而後容許用戶從AD中讀取密碼

7. 受權用戶能夠強制更改密碼

3、功能特點

解決方案功能包括：

安全性：

在託管計算機上自動按期更改的隨機密碼

有效緩解pass-the-hash***

經過kerbers加密在傳輸期間保護密碼

密碼在ad中受adacl保護，所以能夠方便地實現粒度安全模型

可管理性

可配置的密碼參數：期限、複雜性和長度

根據每臺機器強制重置密碼的能力

與adacl集成的安全模型

終端用戶界面能夠是任何AD管理工具的選擇，另外還提供了自定義工具（pwershell和胖客戶端）

防止計算機賬戶刪除

易於實現，技術難度最小

4、要求

解決方案有如下要求：

活動目錄：

Windws2003SP1及更高版本

託管計算機：

當前SP或更高版本的WindwsVista；x86或x64

當前SP及以上版本的Windws2003；x86或x64（不支持安騰）

管理工具：

.NETFramewrk4.0

pwershell2.0或更高版本