Windows AD 域环镜 本地管理员密码解决方案(LAPS)部署

已于 2024-01-24 13:46:39 修改
阅读量2.2k 收藏 5
点赞数
分类专栏: Windows AD 文章标签: 服务器 运维
于 2023-05-08 11:52:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mshxuyi/article/details/130555062
版权

前言:

我们知道window10装好后,默认本地管理员账号Administrator是关闭的,通过组策略启用本地管理员账号没有问题,具体方法在下面,但是由于微软《MS14-025:组策略首选项中的漏洞可能允许特权提升:2014 年 5 月 13 日 - Microsoft 支持》中组策略漏洞的公告后,通过组策略修改密码就不能用了。

1、启用本地管理员账号

2、修改密码和确认密码功能变成灰色,不能使用 !

LAPS介绍

LAPS允许您在加入域的情况下管理本地管理员密码。这些密码集中存储在Active Directory中,并且仅限使用ACL的授权用户使用。

这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免攻击者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。

官方下载地址:Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center

安装

1、在域控上安装 LAPS.x64,点击下一步安装,注意第一项不用安装

默认只勾选了 AdmPwd GPO Extendsion,客户端必须要安装,服务端不需要。

2、安装完成后,通过PowerShell加载LAPS模块,扩展AD架构

# 导入 LAPS 模块
PS C:\Users\Administrator> Import-Module AdmPwd.PS


# 返回 Success 表示成功
PS C:\Users\Administrator> Update-AdmPwdADSchema

Operation            DistinguishedName                                                 Status
---------            -----------------                                                 ------
AddSchemaAttribute   cn=ms-Mcs-AdmPwdExpirationTime,CN=Schema,CN=Configuration,DC=m... Success
AddSchemaAttribute   cn=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=msh,DC=local       Success
ModifySchemaClass    cn=computer,CN=Schema,CN=Configuration,DC=msh,DC=local            Success

3、查看本地域环境的架构

(1)本地2台电脑目前是在 Workstation 这个 OU 下面

(2)我们通过打开 ADSI Edit 验证此架构扩展的结果,在属性列表中,我们应该有两个新条目:ms-Mcs-AdmPwd(密码为明文)和ms-Mcs-AdmPwdExpirationTime(密码到期时)

(3)接着设置这个OU权限,以便里面的所有计算机有权限写入密码

Set-AdmPwdComputerSelfPermission -OrgUnit Workstation

(4)你也可以通过下面命令查看哪些用户和组有权限进行查看

Find-AdmPwdExtendedRights -Identity "Workstation"

# 默认 Domain Admins 是有权限的
PS C:\Users\Administrator> Find-AdmPwdExtendedRights -Identity "Workstation"

ObjectDN                                      ExtendedRightHolders
--------                                      --------------------
OU=Workstation,OU=SHA,DC=msh,DC=local         {NT AUTHORITY\SYSTEM, MSH\Domain Admins}

(5)你可以指定哪些用户或组有权限

Set-AdmPwdResetPasswordPermission -OrgUnit Workstation -AllowedPrincipals 用户或组

4、创建GPO

在 Workstation 这个 OU 下面创建 LAPS 

 

(1)进入到 计算机配置>策略>管理模板>LAPS

(2)设置本地管理员密码规则

(3)启用本地管理员密码管理 

(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。部署方法选择 "已分配",让客户端开机自动安装,具体过程这里不做详解

 

5、客户端生效后,我们查看已成功安装

 6、如何查看密码

(1)通过 PowerShell

# 通过电脑名查看
PS C:\Users\Administrator> Get-AdmPwdPassword -ComputerName lishi-pc

ComputerName         DistinguishedName                             Password           ExpirationTimestamp
------------         -----------------                             --------           -------------------
LISHI-PC             CN=LISHI-PC,OU=Workstation,OU=SHA,DC=msh,D... /Ro}d8q3           6/7/2023 9:57:04 AM

(2)通过 LAPS UI

Tom Ma.
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(LAPS) Windows本地管理员密码解决方案
IT 博客
10-05 266
Windows Local Administrator Password Solution (LAPS)Windows本地管理员密码解决方案
LAPM:本地管理员密码维护者
05-29
本地管理员密码维护者 (2015 年 6 月 18 日:微软的 LAPS(本地管理员密码解决方案)最近受到了很多关注,所以我想我应该开源我三个月前通过我的博客发布的版本。) Active Directory 非常适合对大量 IT 资产进行稳健、集中的管理。 但是,即使您拥有 Active Directory,您仍然会遇到如何处理所有成员上的本地管理员帐户的问题。 您可能不想禁用本地管理员帐户,因为在计算机无法联系控制器的情况下,您将需要它。 但是,您也没有在整个环境中更新和维护本地管理员密码的好方法。 每个人都知道最好不要使用组策略首选项来更新成员的本地管理员密码,因为它是完全不安全的。 大多数其他解决方案涉及通过网络以明文形式发送管理员密码,要求管理员每次手动运行一些脚本或软件,这些脚本或软件在复杂的网络中可能无法正常工作,并且它们仍然让您在每次使用相同的本地管理员密码时机器..
WindowsWindows LAPS:本地管理员密码解决方案
u012153104的博客
05-06 1525
微软已经在2023年4月的安全更新中,为Windows 10(20H2、21H2、22H2)、Windows 11(21H2、22H2)、Windows Server 2019和Windows Server 2022提供了称为Windows LAPS的新功能。Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的设备。
2.如何通过AD组策略做账户和密码策略?AD控如何通过组策略做账号锁定策略和密码策略
封枫丰
03-14 765
1.AD控如何做组策略关于账号锁定策略和密码策略 适合人群:桌面运维!!
macOSLAPS:Swift二进制文件,它将本地管理员密码更改为随机生成的密码。 与WindowsLAPS类似的行为
04-13
macOS LAPS(本地管理员密码解决方案) 使用Open Directory来确定本地管理员密码是否已过期的Swift二进制文件,该密码已由Active Directory属性dsAttrTypeNative:ms-Mcs-AdmPwdExpirationTime 。 在这种情况下,将为本地管理员帐户设置一个新的随机生成的密码,并设置一个新的到期日期。 LAPS密码存储在Active Directory属性dsAttrTypeNative:ms-Mcs-AdmPwd 。 该属性只能由指定查看该属性的人员读取。 计算机记录可以写入此属性,但不能读取。 要求 必须设置以下首选项键,否则应用程序将使用默认值: LocalAdminAccount本地管理员帐户。 默认值为“管理员”。 (以字符串格式) DaysTillExpiration随机密码的到期日期。 默认值为60天。 (整数格式)
运维有小邓」如何配置密码策略 - 概述和指南
运维有小邓
04-18 4287
密码策略可确保用户密码强度高且定期更改,从而使攻击者几乎不可能破解密码。为确保AD中用户帐户的高度安全性,管理员必须配置和实施密码策略。
部署Microsoft LAPS分步指南
allway2的博客
01-13 5683
部署Microsoft LAPS分步指南 在本文档中,我将向您逐步介绍部署Microsoft LAPS的方法。本地管理员密码解决方案LAPS)提供对加入的计算机的本地帐户密码的管理。实施LAPS后,密码将存储在Active Directory(AD)中并受ACL保护,因此只有合格的用户才能读取或请求重置。对于要求用户在没有凭据的情况下登录计算机的环境,密码管理可能会成为一个复杂的问题。本地...
如何搭建LAPS?如何统一给的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?
封枫丰
07-28 1054
1,如何搭建LAPS? 2.如何统一给的电脑设置本地管理员密码? 3,比组策略推送脚本更改本地管理员密码更好的方式? 4.LAPS的好处特点?
账号策略设置(密码有效期,密码复杂度等)
热门推荐
qq_43091539的博客
09-26 1万+
账号策略设置(密码有效期,密码复杂度等)
内计算机本地管理员密码管理
weixin_42556618的博客
12-17 3805
随着互联网技术的不断发现,信息安全在企业中的受重视度也越来越高,终端管理是信息安全中至关重要的一环,不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平,因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要。其中做好权限的管理是重中之重,而企业内终端的密码管理则是权限管理的基础。 在小型企业中,PC客户端直接使用客户端,这种方式终端上需要管理的密码只有工...
SharpLAPS:从LDAP检索LAPS密码
03-04
夏普 属性ms-mcs-AdmPwd存储明文LAPS密码。 可以使用execute-assembly在Cobalt Strike会话中execute-assembly此可执行文件。 它将从Active Directory中检索LAPS密码。 要求(两者皆有): 具有ExtendedRight或Generic All Rights帐户 管理员权限 用法 _____ __ __ ___ ____ _____ / ___// /_ ____ __________ / / / | / __ \/ ___/ \__ \/ __ \/ __ `/ ___/ __ \/ / / /| | / /_/ /\__ \ ___/ / / / / /_/ / / / /_/ / /___/ ___ |/ ____/_
laps-web:一个网站,用于管理对由Microsoft LAPS管理的本地管理员密码的访问
04-28
Lithnet LAPS Web应用程序 Lithnet LAPS Web应用程序是一个IIS应用程序,允许您管理对由管理的 它提供对目录中存储的LAPS密码的细化权限,审核,电子邮件警报和限速访问,并且与OpenID Connect,WS-Federation(ADFS)和集成的Windows身份验证兼容。 特征 基于Web的LAPS密码访问 LAPS Web应用程序提供了一个简单的基于Web且易于移动的界面,用于访问本地管理员密码管理员无需安装自定义软件,也无需访问AD管理工具即可访问LAPS密码。 只需提供计算机名称,如果有访问权限,就会显示密码LAPS管理员还可以选择在访问密码时强制终止时间。 这样可确保在使用后旋转密码。 审核成功和失败事件日志 所有成功和失败事件都记录到事件日志和文件中。 这些可以很容易地运到SIEM进行记录保存以及进一步的分析和报告。 限速 为了防止
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案
05-14
LAPS-WebUI 一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案) 设置前提 安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows / macOS)或Docker主机 设置(裸机): 下载适合您平台的最新版本 解压缩档案 调整appsettings.json或通过环境变量设置设置 运行LAPS-WebUI 设置(泊坞窗): 在docker中运行LAPS-WebUI非常简单: docker run -d \ --name=lapswebui \ -e LDAP__Server=ldap.example.com \ -e LDAP__Port=389 \ -e LDAP__UseSSL=fa
自动获取分配本地管理员账号权限
10-29
大家安装后需要重启,在环境下能获取到本机的管理员账号密码密码随机生成。 控制端完整安装,客户端默认安装。
服务器数据恢复—ESXi无法识别数据存储和VMFS文件系统如何恢复数据?
beiya123的博客
04-24 908
一台某品牌服务器,通过FreeNAS来做iSCSI,然后使用两台同品牌服务器做ESXi虚拟化系统。 FreeNAS层为UFS2文件系统,使用整个存储建一个稀疏模式的文件,挂载到ESXi虚拟化系统。ESXi虚拟化系统中有3台比较重要的虚拟机,这几台虚拟机情况如下: 1、windows server操作系统,运行门户网站,采用ASP.net+PHP混合构架,部署的SqlServer和mysql数据库 。 2、FreeBSD操作系统,运行Mysql数据库,供其他多台虚拟机使用。 3、windows server系
Linux的磁盘分区,格式化,挂载
Tmg3202915143的博客
04-24 427
分区。
绿联搭建rustdesk服务器
智识家的博客
04-22 508
启用仅加密,这样即便你的中继服务被他人得知,没有密钥也无使用你的服务。Web端使用,不用可不开放,没测试过怎么用。Web端使用,不用可不开放,没测试过怎么用。本服务器比较省内存,配置1GB即可。重启策略选择最后一项即可,其他默认。,因为未更改端口可以省略端口号。自己选择位置即可,必须。
Linux网络编程---多进/线程并发服务器
最新发布
qq_51647149的博客
04-25 488
多进程并发服务器及多线程并发服务器的实现
A block of 64 contiguous LAPs is reserved for inquiry operations; one LAP common to all devices is reserved for general inquiry, the remaining 63 LAPs are reserved for dedicated inquiry of specific classes of devices (see Assigned Numbers). The same LAP values are used regardless of the contents of UAP and NAP. Consequently, none of these LAPs can be part of a user BD_ADDR. The reserved LAP addresses are 0x9E8B00 to 0x9E8B3F. The general inquiry LAP is 0x9E8B33. All addresses have the LSB at the rightmost position, hexadecimal notation. The default check initialization (DCI) is used as the UAP whenever one of the reserved LAP addresses is used. The DCI is defined to be 0x00 (hexadecimal).
06-06
有一组64个连续的LAP保留用于查询操作;其中一个LAP是所有设备共用的,用于通用查询,剩下的63个LAP保留用于针对特定设备类别的专用查询(请参阅分配的编号)。无论UAP和NAP的内容如何,都使用相同的LAP值。因此,这些LAP都不能成为用户BD_ADDR的一部分。保留的LAP地址为0x9E8B00至0x9E8B3F。通用查询LAP为0x9E8B33。所有地址的最低有效位位于最右边的位置,使用十六进制表示。当使用保留的LAP地址之一时,使用默认检查初始化(DCI)作为UAP。DCI被定义为0x00(十六进制)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值