Windows Local Administrator Password Solution (LAPS) Windows本地管理员密码解决方案
Windows LAPS 方案
- 将本地管理员帐户密码备份到 Azure Active Directory(适用于已加入 Azure Active Directory 的设备)
- 将本地管理员帐户密码备份到 Windows Server Active Directory(适用于已加入 Windows Server Active Directory 的客户端和服务器)
- 将 DSRM 帐户密码备份到 Windows Server Active Directory(适用于 Windows Server Active Directory 域控制器)
Windows LAPS 支持的平台
Windows 11 22H2 - 2023 年 4 月 11 日更新
Windows 11 21H2 - 2023 年 4 月 11 日更新
Windows 10 - 2023 年 4 月 11 日更新
Windows Server 2022 - 2023 年 4 月 11 日更新
Windows Server 2019 - 2023 年 4 月 11 日更新
使用 Windows LAPS 时的优势
- 防范哈希传递和横向遍历攻击
- 提高了远程技术支持方案的安全性
- 能够登录和恢复其他不可访问的设备
- 细粒度安全模型(访问控制列表和可选的密码加密),用于保护存储在 Windows Server Active Directory 中的密码
- 支持 Azure 基于角色的访问控制模型,用于保护存储在 Azure Active Directory 中的密码
部署将本地管理员帐户密码备份到 Active Directory
- 扩展 AD 架构以支持 Windows LAPS
- 如果使用 GPO 中央存储,请手动将 Windows LAPS 组策略模板文件复制到中央存储 (默认可以忽略)
- 向托管设备OU授予更新其密码的权限
- 分析、确定和配置适当的 AD 权限,用于密码过期和密码检索 (默认可以忽略))
- 分析和确定用于解密密码的相应授权组 (默认可以忽略)
- 创建一个新的 Windows LAPS 策略,该策略针对托管设备OU.
1.扩展 AD 架构以支持 Windows LAPS
在使用 Windows LAPS 之前,必须更新 Windows Server Active Directory 架构。 此操作是使用 Update-LapsADSchema cmdlet 执行的。 这是针对整个林的一次性操作。 此操作可以在使用 Windows LAPS 更新的 Windows Server 2022 或 Windows Server 2019 域控制器上执行,但也可以在非域控制器上执行,只要它支持 Windows LAPS PowerShell 模块。
Update-LapsADSchema
Note:如果在server 2019 或者2022上运行报错,请更新服务器后再运行。
2.向托管设备授予更新其密码的权限
此操作是通过在设备所在的组织单位 (OU) 上设置可继承权限来执行的
Set-LapsADComputerSelfPermission -Identity “OU=ADComputers,DC=test,DC=lan”
3.创建一个新的 Windows LAPS 策略GPO, 将该策略GPO link到托管设备OU
请在组策略管理编辑器中转到“计算机配置”>“管理模板”>“系统”>“LAPS”
Note: 如果密码无法更新到域服务器,请更新电脑后,重启电脑。