部署Microsoft LAPS分步指南

最新推荐文章于 2025-02-27 17:07:41 发布
最新推荐文章于 2025-02-27 17:07:41 发布
阅读量7k 收藏 12
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/103944714
版权

部署Microsoft LAPS分步指南

在本文档中,我将向您逐步介绍部署Microsoft LAPS的方法。本地管理员密码解决方案(LAPS)提供对加入域的计算机的本地帐户密码的管理。实施LAPS后,密码将存储在Active DirectoryAD)中并受ACL保护,因此只有合格的用户才能读取或请求重置。对于要求用户在没有域凭据的情况下登录计算机的环境,密码管理可能会成为一个复杂的问题。本地管理员密码解决方案(LAPS)为此问题提供了解决方案,即在域中的每台计算机上使用具有相同密码的公用本地帐户。LAPS通过为域中每台计算机上的公共本地管理员帐户设置不同的随机密码来解决此问题。

想象一下您有很多服务器和工作站的情况。当无法使用域帐户登录服务器并执行管理任务时,您会遇到很大麻烦。

没有LAPS可以想象的一些场景

a        计算机失去与公司网络的连接,并且没有具有管理特权的缓存凭据。

b        机器与域断开连接或意外从域断开连接,因此域凭据不能用于登录服务器并进行修复。

对于此类支持方案,支持人员需要知道本地密码

管理员帐户,能够登录到计算机并执行必要的管理任务。

我需要做什么之前,我部署Microsoft LAPS

要安装Microsoft LAPS,您至少需要一台管理计算机和至少一台客户端计算机。就我而言,我正在域控制器上安装Microsoft LAPS。域中有一些客户端计算机,我们还将LAPS软件部署到这些客户端计算机。

支持的操作系统

Windows 10 Windows 7Windows 8Windows 8.1Windows Server 2003Windows

Server 2008Windows Server 2008 R2Windows Server 2012Windows Server 2012 R2Windows Vista

Active Directory :(需要AD架构扩展)Windows 2003 SP1或更高版本。受管计算机:Windows Server 2003 SP2或更高版本,或Windows Server 2003 x64 Edition SP2或更高版本。

注意:不支持基于Itanium的计算机。

管理工具:.NET Framework 4.0PowerShell 2.0或更高版本

如何安装和部署Microsoft LAPS软件

现在,我们将在管理计算机上安装LAPS fat客户端,PowerShell模块和组策略模板。单击下面的按钮 以下载Microsoft LAPS软件。您可以下载64位和32位版本。

下载Microsoft本地管理员密码解决方案软件

下载LAPS软件后,将msi文件复制到服务器上的共享文件夹中。就我而言,我已经在C驱动器上创建了一个共享文件夹,并且所有下载的文件都位于该文件夹中。右键单击LAPS x64,然后单击安装

 

LAPS设置向导中,点击下一步

 

我们将选择所有要安装的功能。单击下一步

 

点击安装

 

点击完成LAPS软件现已安装。

 

 

 

使用GPOLAPS部署到客户端计算机

现在,我们将配置一个GPO,以将LAPS软件部署到客户端计算机。您也可以使用脚本方法来部署LAPS。如果要编写脚本,可以使用以下命令行进行静默安装:

msiexec / i <文件位置> LAPS.x64.msi / quietmsiexec / i <文件位置> LAPS.x86.msi    

/安静

只需将<文件位置>更改为本地或网络路径。

安装到受管客户端的另一种方法是将AdmPwd.dll复制 到目标计算机并使用以下命令:regsvr32.exe AdmPwd.dll

 
 


启动组策略管理控制台,右键单击该域,然后单击“ 在此域中创建 GPO并在此处链接。为GPO提供一个名称。

 

 

 
 


右键单击GPO,然后单击“ 编辑

GPM编辑器中,展开计算机配置”>“策略”>“软件设置。右键单击“ 软件安装,然后单击“ 新建 >“ 软件包

 
 


浏览找到文件所在的路径,然后选择LAPS软件。选择部署方法分配,然后单击确定

现在,您已看到LAPS x64已导入。如果要添加x86 LAPS,则添加软件包后,请务必编辑x86软件包以取消选中 “ 使此32X86应用程序可用于Win64计算机选项。右键单击x86软件包Properties > Deployment时,您会找到此选项。这将确保64位计算机获取64DLL,而32位计算机获取32DLL。关闭GPM编辑器。

 

 

 

要在客户端计算机上更新策略,请运行gpupdate命令。

 

在客户端计算机上,启动控制面板,然后单击程序和功能。您将看到在客户端计算机上安装了LAPS

 

如何为LAPS配置Active Directory

让我们看看如何为LAPS配置Active Directory。我们将首先扩展AD模式。

 
 


确保用于此过程的用户帐户应该是Schema Admins Active Directory组的成员。需要通过两个新属性扩展Active Directory架构,这两个属性存储每台计算机的托管本地Administrator帐户的密码和密码到期的时间戳。这两个属性都添加到计算机类的maycontain属性集中。

ms-Mcs-AdmPwd –以明文形式存储密码

ms-Mcs-AdmPwdExpirationTime –存储重置密码的时间

要更新架构,您首先需要导入PowerShell模块。打开一个管理PowerShell窗口,并使用以下命令:

导入模块AdmPwd.PS   

Update- AdmPwdADSchema(此命令更新架构)

一旦运行了上述命令,您将发现操作的状态为Success

一旦运行了上述命令,您将发现操作的状态为Success

如果您在环境中安装了RODC,并且需要将ms-Mcs-AdmPwd属性的值复制到RODC,则需要更改ms-Mcs-AdmPwd模式的searchFlags属性值的第10objet 减为0(从searchFlags属性的当前值减去 512 )。有关在RODC筛选的属性集中添加属性或从中删除属性的更多信息,请参考 http://technet.microsoft.com/zh-cn/library/cc754794(v=WS.10).aspx

 
 


 

在下一步,我们将授予计算机更新使用他们的密码属性的能力套装- AdmPwdComputerSelfPermission 命令。在此示例中,我将客户端计算机放在“ Comps OU”中。ms-Mcs  的写权限-

必须 将所有计算机帐户的 AdmPwdExpirationTime ms-Mcs-AdmPwd属性添加到SELF内置帐户中。这是必需的,因此计算机可以更新其自己的托管本地管理员密码的密码和到期时间戳。  这是使用PowerShell完成的。  如果这是一个新窗口,则可能需要运行导入模块AdmPwd.PS

设置-AdmPwdComputerSelfPermission - OrgUnit <要委派权限的OU的名称>

对包含计算机帐户的所有其他OU重复此过程。

删除扩展权限 –为了将查看密码的权限限制于特定用户和组,您需要从不允许读取属性ms-Mcs-AdmPwd的用户和组中删除所有扩展权限” 。这是必需的,因为所有扩展权限都还授予读取机密属性的权限。如果要对所有计算机执行此操作,则需要在包含这些计算机的每个OU上重复以下步骤。 除非已禁用权限继承,否则无需对已处理的OU的子容器执行此操作。

1.  打开ADSIEdit

2.  右键单击包含要安装此解决方案的计算机帐户的OU,然后选择“ 属性

3 

 
 


单击安全 选项卡。

4.  单击高级。

5.  选择您不想读取密码的组或用户,然后单击编辑

6.  取消选中所有扩展权限。

若要快速查找哪些安全主体具有对该OU的扩展权限,可以使用PowerShell cmdlet。如果这是一个新窗口,则  可能需要运行导入模块AdmPwd.PS

查找-AdmPwdExtendedrights- 身份 “ OU NAME”

在下一步中,我们将授予用户权限,以允许他们检索计算机的密码。

我们将使用Set- AdmPwdReadPasswordPermission 命令来执行此操作。

 
 


设置-AdmPwdReadPasswordPermission - OrgUnit <要委派权限的OU的名称> -AllowedPrincipals <用户或组>

如何为LAPS配置组策略

启动组策略管理控制台。我更喜欢创建一个新策略来应用密码设置。右键单击您的域计算机所在的OU,然后单击在此域中创建GPO并在此处链接。指定此GPO的名称,然后单击确定。接下来,编辑GPO

 
 


设置位于计算机配置”>“管理模板”>“ LAPS”下。您会看到存在4个设置。我们将配置所需的那些。

右键单击策略设置“ 启用本地管理员密码管理 ,然后单击“ 属性。当我们要管理本地管理员密码时,我们将启用策略设置。单击确定。

我们将启用的第二个策略设置是密码设置。默认情况下,此解决方案使用密码最大复杂度为14个字符的密码,并每30天更改一次密码。您可以通过编辑组策略来更改值以适合您的需求。您可以更改各个密码设置以适合您的需求。单击确定。

 
 


管理员帐户名称 –如果您决定管理自定义本地管理员帐户,则必须在组策略中指定其名称。我尚未配置此策略设置。

防止计划太长的密码重置时间 –如果您不想让管理员帐户的计划密码过期时间设置为超过最大密码使用期限,则可以在GPO中进行此操作。

如果你想查看使用计算机的密码设置的PowerShellGetAdmPwdPassword会帮助你。

导入模块AdmPwd.PS

 
 


GET- AdmPwdPassword - 计算机名 “ 计算机名 “

如果没有被授予查看本地管理员密码权限的用户尝试访问该密码,会发生什么情况?  如果他们要访问GUI界面,则不会显示密码。

 
 


对于GUI用户,有一种很酷的方法来查找密码设置。 以管理员身份运行AdmPwd.UI文件。该文件位于C驱动器>程序文件> LAPS文件夹下。在LAPS UI窗口中,输入计算机名称,然后单击搜索。显示密码以及有效期信息。

配置完所有内容,并在客户端上刷新组策略后,您可以查看计算机对象的属性并查看新设置。密码以纯文本格式存储。

 

 

 

allway2
关注
(LAPS) Windows本地管理员密码解决方案
IT 博客
10-05 735
Windows Local Administrator Password Solution (LAPS)Windows本地管理员密码解决方案
【Windows】Windows LAPS:本地管理员密码解决方案
u012153104的博客
05-06 3440
微软已经在2023年4月的安全更新中,为Windows 10(20H2、21H2、22H2)、Windows 11(21H2、22H2)、Windows Server 2019和Windows Server 2022提供了称为Windows LAPS的新功能。Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的设备。
Windows AD 域环镜 本地管理员密码解决方案(LAPS部署
一直被模仿,从未被超越
05-08 4098
这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。LAPS允许您在加入域的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。1、在域控上安装LAPS.x64,点击下一步安装,第一项不用安装。
Windows LAPS本地管理员密码管理文档
最新发布
a1070215678的博客
02-27 1041
在企业的IT管理环境中,本地管理员密码的安全管理至关重要。传统的手动管理方式不仅效率低下,还容易因密码长期不变或使用简单密码等问题,带来诸多安全风险。Windows LAPS(Local Administrator Password Solution)作为微软提供的一项重要功能,能够实现本地管理员密码的自动化管理,提升企业域环境的安全性。本项目旨在企业内部成功部署和应用Windows LAPS,优化本地管理员密码管理流程,增强信息系统的安全性和稳定性。
本地管理员密码解决方案 Local Admin Password Solution (LAPS)
weixin_33748818的博客
10-20 5423
据调查,大多数的企业在部署AD域后,针对客户端电脑的本机管理员采用以下几种方式管理方式:1. 禁用本机管理员,只使用域账登录;但存在的问题是:当电脑因故障脱离域,或是无法使用域账号登录时,电脑就无法登录,需要借助PE等工具启用本机管理员并设置密码。2. 由IT人员在系统部署时设置一个统一的本机管理员密码(或是用GPO统一设置);但存在的问题是:如果密码一旦泄露或是被猜出,***、病毒将能取得电脑控...
LAPS安装教程
Nikki135的博客
11-03 808
LAPS安装教程
借助向 Dev Channel 內部人員提供的最新預覽版本,Microsoft 已將舊版本地管理員密碼解決方案(也稱為 LAPS)直接集成到 Windows 11 中
m0_55055742的博客
06-24 165
然而,值得知道的是,LAPS 僅適用於加入 Active Directory 域的客戶端,因為 Microsoft 正在為 Azure Active Directory 用戶在雲端使用分階段推出的方法。 “功能文檔尚不可用,但如果您使用過舊版 LAPS 產品,那麼您將熟悉此新版本中的許多功能,”該公司表示。 最新 Windows 11 預覽版中的更多變化 此外,Windows 11 build 25145 還附帶了應用程序使用歷史功能的擴展,這些功能之前已隨 Windows 11 build 25140 .
如何搭建LAPS?如何统一给域的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?
封枫丰
07-28 2007
1,如何搭建LAPS? 2.如何统一给域的电脑设置本地管理员密码? 3,比组策略推送脚本更改本地管理员密码更好的方式? 4.LAPS的好处特点?
laps-web:一个网站,用于管理对由Microsoft LAPS管理的本地管理员密码的访问
04-28
Lithnet LAPS Web应用程序 Lithnet LAPS Web应用程序是一个IIS应用程序,允许您管理对由管理的 它提供对目录中存储的LAPS密码的细化权限,审核,电子邮件警报和限速访问,并且与OpenID Connect,WS-Federation(ADFS)和集成的Windows身份验证兼容。 特征 基于Web的LAPS密码访问 LAPS Web应用程序提供了一个简单的基于Web且易于移动的界面,用于访问本地管理员密码。 管理员无需安装自定义软件,也无需访问AD管理工具即可访问LAPS密码。 只需提供计算机名称,如果有访问权限,就会显示密码。 LAPS管理员还可以选择在访问密码时强制终止时间。 这样可确保在使用后旋转密码。 审核成功和失败事件日志 所有成功和失败事件都记录到事件日志和文件中。 这些可以很容易地运到SIEM进行记录保存以及进一步的分析和报告。 限速 为了防止
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案)
05-14
安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows / macOS)或Docker主机 设置(裸机): 下载适合您平台的最新版本 解压缩档案 调整...
开源LAPM:微软LAPS方案的替代品
LAPS出现之前,常见的做法是使用组策略首选项更新域成员的本地管理员密码,但这种方法被证实是完全不安全的。在处理明文密码传输和管理上,存在很大安全风险,因为这些密码可能会被恶意用户捕获。此外,其他解决...
SharpLAPS:从LDAP检索LAPS密码
03-04
夏普 属性ms-mcs-AdmPwd存储明文LAPS密码。 可以使用execute-assembly在Cobalt Strike会话中execute-assembly此可执行文件。 它将从Active Directory中检索LAPS密码。 要求(两者皆有): 具有ExtendedRight或Generic All Rights帐户 域管理员权限 用法 _____ __ __ ___ ____ _____ / ___// /_ ____ __________ / / / | / __ \/ ___/ \__ \/ __ \/ __ `/ ___/ __ \/ / / /| | / /_/ /\__ \ ___/ / / / / /_/ / / / /_/ / /___/ ___ |/ ____/_
macOSLAPS:Swift二进制文件,它将本地管理员密码更改为随机生成的密码。 与Windows的LAPS类似的行为
04-13
macOS LAPS(本地管理员密码解决方案) 使用Open Directory来确定本地管理员密码是否已过期的Swift二进制文件,该密码已由Active Directory属性dsAttrTypeNative:ms-Mcs-AdmPwdExpirationTime 。 在这种情况下,将...
推荐项目:LAPSToolkit - 助力Active Directory环境中的LAPS审计与防护
gitblog_00009的博客
05-18 386
推荐项目:LAPSToolkit - 助力Active Directory环境中的LAPS审计与防护 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 在Windows服务器环境中,Microsoft的Local Administrator Password Solution(LAPS)是一个强大的安全工具,用于管理本地管理员密码。而LAPSToolkit 是一套由P...
URLOS实战入门—制作LAP网站环境
puiying的博客
07-22 744
1、制作LAP镜像 1.1.使用ssh登录宿主机器,创建Dockerfiel文件并填充以下内容 FROM php:7.2.16-apache-stretch ENV TIME_ZONE Asiz/Shanghai RUN sed -i 's~//.*.debian.org~//mirrors.aliyun.com~' /etc/apt/sources.list \ && a...
使用AD域管理您的本地计算机密码
Zephyr的博客
04-02 7321
此方案是将本地管理员密码存储在LDAP上,作为计算机账户的一个机密属性,配合GPO,实现自动定期修改密码、设置密码长度、强度等,然后配置某些指的账号,能查看存储的密码,如果用户需要,可以用PowerShell或指的工具查询密码,但对非授权用户,确无法获取,从而实现本机管理员的自动化管理。
探索 Laps:一款轻量级的 PHP 脚本运行环境
gitblog_00001的博客
04-16 458
探索 Laps:一款轻量级的 PHP 脚本运行环境 lapsLight WordPress profiler.项目地址:https://gitcode.com/gh_mirrors/la/laps 在 PHP 开发的世界里,快速测试和调试代码是日常任务的一部分。Laps 是一个由 Rarst 创建的小巧而高效的工具,它提供了一个简单的命令行界面,让你能在本地轻松运行 PHP 脚本。无论你是新手还...
使用 LAPS WebUI 从 Active Directory 检索本地管理员密码
allway2的博客
05-16 1169
作为安全说明,LAPS WebUI 的 Docker 实现不会在 Web 浏览器中配置 HTTPS 的连接。因此,您需要在解决方案前面放置一个反向代理,例如 Traefik,以确保您的浏览器流量已加密,或者您的密码将以明文形式发送。您需要使用具有查看 LAPS 控制的工作站所在的 OU 对象的扩展属性的 Active Directory 用户登录。安装 LAPS UI 后,可以查询特定工作站以查看当前 LAPS 控制的密码。登录后,您可以搜索 LAPS 控制的工作站并查看密码。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值