本地管理员密码解决方案 Local Admin Password Solution (LAPS)

据调查，大多数的企业在部署AD域后，针对客户端电脑的本机管理员采用以下几种方式管理方式：

1. 禁用本机管理员，只使用域账登录；但存在的问题是：当电脑因故障脱离域，或是无法使用域账号登录时，电脑就无法登录，需要借助PE等工具启用本机管理员并设置密码。

2. 由IT人员在系统部署时设置一个统一的本机管理员密码（或是用GPO统一设置）；但存在的问题是：如果密码一旦泄露或是被猜出，***、病毒将能取得电脑控制权，进行大规模的破坏，而且不能按要求定期修改。

3. 同方法2，但是分区域、分部门、或是分OU等，设置多个不同的管理员密码

4. 每台电脑设置一个不同的管理员密码，由IT人员记录在Excel或是笔记本上；但存在的问题是：每次要找某台电脑的管理员密码时，要去找文件或是记录，而且也不能定时修改！

针对以上问题，微软已经给我们提供了一个解决方案：本地管理员密码解决方案(LAPS),最近一个更新版本为2015/5/1，官方下载地址:

https://www.microsoft.com/en-us/download/details.aspx?id=46899；里面包含所需的安装程序及英文的原始技术文档。

此方案是将本地管理员密码存储在LDAP上，作为计算机账户的一个机密属性，配合GPO，实现自动定期修改密码、设置密码长度、强度等，然后配置某些指的账号，能查看存储的密码，如果用户需要，可以用PowerShell或指的工具查询密码，但对非授权用户，确无法获取，从而实现本机管理员的自动化管理。

LAPS使用两个LDAP属性来存储本地管理员凭证，这两个属性分别是ms-MCS-AdmPwd（存储密码）和ms-MCS-AdmPwdExpirationTime（存储过期时间）。

其实上面的下载地址已经给出了英文的详细安装配置方式，所以我只做一个大概的配置说明，首先下载后主要是需要用到两个MSI文件，LAPS.x86.msi\LAPS.x64.msi，分别是针对32位和64位两种系统，官方给出支持的操作系统包括：

Windows Server 2012 R2 Datacenter

Windows Server 2012 R2 Standard

Windows Server 2012 R2 Essentials

Windows Server 2012 R2 Foundation

Windows 8.1 Enterprise

Windows 8.1 Pro

Windows Server 2012 Datacenter

Windows Server 2012 Standard

Windows Server 2012 Essentials

Windows Server 2012 Foundation

Windows 8 Enterprise

Windows 8 Pro

Windows Server 2008 R2 Service Pack 1

Windows 7 Service Pack 1

Windows Server 2008 Service Pack 2

Windows Vista Service Pack 2

Microsoft Windows Server 2003 Service Pack 2

1 安装

有两个部分的安装、管理端计算机和被管理的客户端。

1.1 管理端计算机

先选一台电脑做为管理端，也可以直接在DC上(我是直接在DC上操作的) ，也可以在某台成员服务器或是客户端电脑，但需要满足以下条件：

- 系统要求:

Windows Vista 当前最近SP 或以上; x86 or x64

Windows 2003 当前最近 SP 或以上; x86 or x64 (不支持Itanium)

- 管理工具:

.NET Framework 4.0

PowerShell 2.0 或以上

双击你的电脑对应的MSI 安装程序，如：LAPS.x64.msi开始。

单击下一步。接受许可协议并单击下一步

对于第一次管理机，您应该启用管理工具的所有安装选择

单击下一步. 

单击安装.