域内计算机本地管理员密码管理

随着互联网技术的不断发现，信息安全在企业中的受重视度也越来越高，终端管理是信息安全中至关重要的一环，不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平，因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要。其中做好权限的管理是重中之重，而企业内终端的密码管理则是权限管理的基础。

在小型企业中，PC客户端直接使用客户端，这种方式终端上需要管理的密码只有工作组账号密码，这种熟练较少，只有使用excel等其他小工具管理即可。在中大型企业中，则会使用AD活动目录来进行统一身份认证，此时域用户账号的密码则集中保留中AD数据库中，并且用户权限也是保留在AD中，AD的安全性远高于普通PC，因此安全性大大提升。

但是使用活动目录，如何管理入域计算机的本地管理员密码是企业IT运维管理员头疼的一件事，基数庞大且在处理故障时又确实需要本地管理员账号，以下我就介绍几种在企业中常见的域内计算机本地管理员账号管理方式，其中着重介绍LAPS（Local Administrator Password Solution）。

常见的几种本地管理员密码管理方式

1.直接禁用本地管理员

这是一种简单粗暴的方式，直接省去管理本地账号的工作，这种方式可以使用组策略来实现，问题是电脑因故障脱离域，或是无法使用域账号登录时，电脑就无法登录，需要借助PE等工具启用本机管理员并设置密码。虽然管理简单但是安全性有保障。

2.使用统一的本地管理员密码

这种方式在企业中最为常见，本地administrator管理员密码掌握在少数管理员手中，全公司或者单个部门保持一致的本地管理员密码（可以通过组策略实现），这种方式对于helpdesk运维工作带来的极大的方便，但是只要出现密码泄露则会带来极大的隐患，并不是很推荐的做法。

3.每台电脑设置不一样的密码

每台电脑设置一个不同的管理员密码，由IT人员记录在Excel或是笔记本上；但存在的问题是：每次要找某台电脑的管理员密码时，要去找文件或是记录，而且也不能定时修改！这种方式大大的增加的IT人员的运维工作量。

4.为每台PC本地管理员设置随机密码

在少部分企业中，通过计算机开机脚本，为每台计算机设置随机密码，并通过其他方法配合禁止有本地管理员权限的用户去更改本地账号密码，此种方式与直接禁用本地管理员账号优缺点并不太大差异。

5.使用LAPS统一管理计算机本地管理员密码

优点：

• 全自动，可配置的计算机本地管理员帐户更新
• 通过OU访问存储的密码的简单委派。
• 由于LAPS利用了Active Directory组件（组策略，计算机对象属性等），因此不需要其他服务器。
• 计算机帐户只能写入/更新自己的本地管理员帐户密码（ms-Mcs-AdmPwd属性），而不能从该属性读取密码。
• 密码更新流量已加密。
• 可以轻松地为OU中的每台计算机更改密码。
• 免费

缺点：

• 仅存储当前密码，并且可供