使用AD域管理您的本地计算机密码

已于 2022-04-06 11:21:52 修改
阅读量6.7k 收藏 8
点赞数
分类专栏: 安全基线 文章标签: windows
于 2022-04-02 16:20:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wumeng2012/article/details/123912719
版权

使用AD域管理您的本地计算机密码

摘要: 本文档介绍本地管理员密码解决方案 (LAPS) 的基本操作。

目录

1. 简介

此方案是将本地管理员密码存储在LDAP上,作为计算机账户的一个机密属性,配合GPO,实现自动定期修改密码、设置密码长度、强度等,然后配置某些指的账号,能查看存储的密码,如果用户需要,可以用PowerShell或指的工具查询密码,但对非授权用户,确无法获取,从而实现本机管理员的自动化管理。
LAPS使用两个LDAP属性来存储本地管理员凭证,这两个属性分别是ms-MCS-AdmPwd(存储密码)和ms-MCS-AdmPwdExpirationTime(存储过期时间)。

2. 工具下载

您可以点击此处下载LAPS程序
在这里插入图片描述

3. 管理端计算机(AD域)安装LAPS

  • 在您的管理端计算机(AD域服务器)上,选择合适您操作系统的安装程序。 32位计算机请运行LAPS.x86.msi,64位计算机请运行LAPS.x64.msi,进入安装导航界面。
    在这里插入图片描述

  • 点击Next
    在这里插入图片描述

  • 选择完整安装
    在这里插入图片描述

  • 点击Install
    在这里插入图片描述

  • 安装完成后,可以在程序中查看。
    在这里插入图片描述
    到此管理端计算机程序安装完毕。

4. 客户端计算机(AD域成员计算机)安装LAPS

4.1 安装包安装LAPS

  • 将安装包复制到您的客户端计算机,只需安装"AdmPwd GPO Extension"和"GPO Editor templates"
    在这里插入图片描述

  • 选择"AdmPwd GPO Extension"会将AdmPwd.dll文件,安装到C:\Program Files\LAPS\CSE\目录。(客户端必须)

  • 选择"GPO Editor templates",会将AdmPwd.admx和AdmPwd.adml安装到您的计算机,这将会使你的组策略编辑中出现LAPS选项。(客户端必须)

  • 选择"Fat client UI"会将AdmPwd.UI.exe安装到计算机。(管理端必须)

  • 选择"PowerShell module"会将AdmPwd.PS模块。(管理端必须)

4.2 复制admpwd.dll方式(仅适用于AD域推送策略)

  1. 在安装好LAPS的服务器上,进入到C:\Program Files\LAPS\CSE\目录。
    在这里插入图片描述
  2. 将C:\Program Files\LAPS\CSE\AdmPwd.dll复制到您客户端计算机的C:\Windows\System32目录下。
  3. 在命令行下运行以下命令:
regsvr32.exe AdmPwd.dll

在这里插入图片描述

5. 在客户端上获取AD域写权限

客户端必须有权访问可写域控制器才能更新密码。确认此类访问存在的一种方法是在托管客户端上运行 nltest.exe 实用程序,在客户端计算机上运行以下命令:

nltest.exe /dsgetdc: /writable /force

在这里插入图片描述
成功后,该实用程序将输出找到的特定域控制器的详细信息。

6. AD域上的配置

Active Directory 架构需要通过两个新属性进行扩展,这些属性存储每台计算机的托管本地管理员帐户的密码和密码过期的时间戳。这两个属性都添加到计算机 类的可能包含 属性集中。

ms-Mcs-AdmPwd – 以明文形式存储密码

ms-Mcs-AdmPwdExpirationTime – 存储重置密码的时间

要更新架构,您首先需要导入 PowerShell 模块。打开管理 PowerShell 窗口并使用以下命令:

Import-module AdmPwd.PS

在这里插入图片描述

您可以使用以下命令更新 Schema:

Update-AdmPwdADSchema

在这里插入图片描述

7. 客户端启用LAPS

  1. 打开组策略设置:
    运行gpedit.msc,定位到计算机配置/管理模板/LAPS在这里插入图片描述
  2. Enable local admin password management设置为启用。
    在这里插入图片描述
  3. 设置password Settings
    在这里插入图片描述
  4. 设置纳管本地管理员帐号名称。
    在这里插入图片描述
  5. 防止密码重置计划时间过长
    如果您不想让管理员帐户的计划密码过期时间超过最大密码期限,可以启用以下配置。
    在这里插入图片描述

8.AD上管理客户端密码

配置完所有内容并在客户端上刷新组策略后,您可以查看计算机对象的属性并查看新设置。

8.1 添加机器权限

必须将所有计算机帐户的 ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd 属性的写入权限添加到 SELF 内置帐户。这是必需的,以便机器可以更新其自己管理的本地管理员密码的密码和过期时间戳。这是使用 PowerShell 完成的。 如果这是一个新窗口,您可能需要运行Import-module AdmPwd.PS。

Set-AdmPwdComputerSelfPermission -OrgUnit <name of the OU to delegate permissions>

在这里插入图片描述

8.2 添加用户权限

将计算机帐户的 ms-Mcs-AdmPwd 属性的 CONTROL_ACCESS 权限(扩展权限)添加到允许读取托管计算机上托管本地管理员帐户的存储密码的组或用户。

Set-AdmPwdReadPasswordPermission -OrgUnit <name of the OU to delegate permissions> -AllowedPrincipals <users or groups>

在这里插入图片描述

8.3 查看客户端密码

  1. 在AD上运行C:\Program Files\LAPS\AdmPwd.UI.exe程序。
    在这里插入图片描述
  2. 在Computer name:中输入您客户端计算机的名称,可以搜索到该计算机的密码。
    在这里插入图片描述

9. 总结

9.1 在AD域上的操作:

  1. 安装LAPS程序。
  2. 在Powershell下导入adminpwd.ps模块。
Import-module AdmPwd.PS
  1. 更新 Schema
Update-AdmPwdADSchema
  1. 添加机器权限
Set-AdmPwdComputerSelfPermission -OrgUnit LAPS
  1. 添加用户权限
Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals administrator

在这里插入图片描述

9.2 在客户端上的操作

  1. 安装LAPS程序。
  2. 获取域控制器写权限,在命令行下输入:
nltest.exe /dsgetdc: /writable /force
  1. 配置组策略,如下所示:
    在这里插入图片描述

9.3 查看密码

在AD上运行C:\Program Files\LAPS\AdmPwd.UI.exe程序,输入计算机名搜索计算机。
在这里插入图片描述

补充

查找拥有扩展权限的用户和组命令

要快速查找哪些安全主体对 OU 具有扩展权限,您可以使用 PowerShell cmdlet。 如果这是一个新窗口,您可能需要运行Import-module AdmPwd.PS 。

Find-AdmPwdExtendedRights -Identity:<OU名称> | Format-Table ExtendedRightHolders

在这里插入图片描述
更多详细资料,可以可看工具包中的《LAPS_OperationsGuide.docx》文档。

[Zephyr]
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Windows AD 环镜 本地管理密码解决方案(LAPS)部署
一直被模仿,从未被超越
05-08 3025
这个功能实现的是让加的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。LAPS允许您在加入的情况下管理本地管理密码(随机,唯一且定期更改)电脑。(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。1、在控上安装LAPS.x64,点击下一步安装,第一项不用安装。
如何查看用户密码
weixin_33849942的博客
08-10 5706
声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。 用户密码是否可以以明文导出,如何导出? 用户密码默认是以不可逆的加密方式存储的,通过第三方工具如copypwd导出的密码是密文。但通过在微软technet上查询到,是可以在密码策略中设置为“启用中的可逆加密密码”的。问这样设...
ad计算机用户密码,AD的委派-账户只有重置密码权限
weixin_39955142的博客
06-16 574
今天,领导说AD管理中一些简单的工作就交给各个部门助理去做吧!还特意提了重置密码这个问题可以完全交给各个部门的助理去做吗?领导一句话啊!这边就赶紧行动起来打开AD管理工具如下图:我们右击IT的组织单位选择委派控制选择下一步添加需要委派的用户或者是组,在这里我们选择一用户下一步我们选择重置密码并强制下次登录更改密码下一步完成然后我们打开mmc;开始输入mmc 点击文件选择添加删除管理单元下图:我...
环境密码凭证获取
LuckySec
10-19 2164
在拿到管理员权限之后,通常会提取所有用户的密码Hash进行离线破解和分析,或者通过Hash传递等方式进一步横向渗透。这些密码Hash存储在控制器数据库文件中(C:\Windows\NTDS\NTDS.dit),并包含一些附加信息,如组成员和用户。
AD用户密码状态检查
02-25
hta代码文件,可以查看windows活动目录(AD)中的用户的密码到期时间,非常的好用。找了好长时间,推荐收藏,推荐DIY。
2.如何通过AD组策略做账户和密码策略?AD控如何通过组策略做账号锁定策略和密码策略
最新发布
封枫丰
03-14 1503
1.AD控如何做组策略关于账号锁定策略和密码策略 适合人群:桌面运维!!
ad用户和计算机 怎么修改密码,怎么把电脑帐户删除用用原本的ad帐户
weixin_42530172的博客
06-30 433
安装Windows XP时,如果设置了一个管理员账户,那么系统内置没有密码保护的Administrator管理员账户是不会出现在用户登录列表中的。虽然它身在幕后,可却拥有系统最高权限,为了方便操作及保证系统安全,可以先给它设置密码,然后再把它请到台前来。以下便介绍具体方法。1.使用“传统登录提示”登录启动系统到欢迎屏幕时,按两次“Ctrl+Alt+Delete”组合键,在出现的登录框中输入Admi...
通过控制器获取用户的密码_出差在外地,忘了登录密码,却想登服务器,别慌...
weixin_39914732的博客
12-05 1305
在出差用户面临的众多问题中,忘记密码也是阻碍工作效率的原因之一,因为它们需要管理员的帮助。当用户登录AD时(活动目录Active Directory)Windows会缓存凭据,将其本地存储在计算机上。缓存的目的是让用户出差或无网络的情况下,也能够登录。但是,当出差用户忘记密码时,他们无法重置密码。即便出差用户想用第三方工具重置密码,在断网的情况下也无法与控制器通信。因此,新密码和缓存凭据...
win10ad 用户和计算机,Windows AD通过GPO设置客户端电脑本地管理员账号密
weixin_28882149的博客
07-02 2004
0x01 介绍在实际生产环境中,由于Windows AD的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理密码,所以这时候就需要批量变更客户端的本地管理密码。0x02 环境介绍DC:Windows Server 2012R2 名:yeah.localCLIENT:Windows 7 已经将客户端加入...
ad管理工具web版
12-12
在传统的AD管理中,管理员通常依赖于Microsoft的“活动目录用户和计算机”等本地管理工具,但这些工具需要在服务器或工作站上安装,并且只能在本地网络环境中使用。Web版AD管理工具则打破了这个限制,它允许管理员...
AD管理工具
03-27
ADAdmin工具主要用于批量管理AD帐户,打开程序后在文本框中输入帐户名称即帐户的samAccountName属性值即可,目前只接受这一种帐户属性值。可进行如下批量操作: 1. 批量查看帐户信息:Check User。输入帐户后可查询所有帐户的常用属性信息。 2. 批量新建帐户:New User。保证ADAdmin.exe与users.xlsx在同一目录,目前只支持Office 2007及以上版本,在users.xlsx中的newuser Sheet中输入帐户的相关属性信息,然后点击Run运行即可,新建的帐户初始密码与用户名相同,密码永不过期,不会要求下次登录前修改密码。 3. 批量重置密码:Reset Password。可进行批量重置密码,默认将密码重置为与帐户相同,全为小写,也可自定义密码进行重置,重置后不会要求用户在下次登录前修改密码。 4. 批量启用/禁用帐户:Xable User。可进行批量启用帐户或禁用帐户。 5. 批量删除帐户:Remove User。可进行批量删除帐户。 6. 批量设置帐户属性:Set Properties。可批量设置帐户属性,只要先在users.xlsx中的setprop Sheet中输入帐户的属性信息然后点击Run运行即可。 7. 批量查询组信息:Check Group。可批量查询组的属性及类型等信息。 8. 批量添加帐户到组:Add to Group。在文本框内输入帐户samAccountName和要加入的组,然后点击Run运行即可。 9. 批量从组中删除帐户:Remove from Group。在文本框中输入帐户samAccountName和要从中删除的组,然后点击Run运行却可。
C# 、.NET 读取AD里用户名或组
01-15
1. 读取AD用户、组。 2.创建或删除用户。 3.创建或删除组。 4.用户移动到组。 5.登录。 等..
计算机本地管理密码管理
weixin_42556618的博客
12-17 3896
随着互联网技术的不断发现,信息安全在企业中的受重视度也越来越高,终端管理是信息安全中至关重要的一环,不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平,因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要。其中做好权限的管理是重中之重,而企业内终端的密码管理则是权限管理的基础。 在小型企业中,PC客户端直接使用客户端,这种方式终端上需要管理密码只有工...
ad用户和计算机丢失,清理AD无效计算机帐户
weixin_42128988的博客
06-16 1170
清理活动目录 AD计算机无效帐户。企业环境中,AD 使用时间长了之后, 客户端肯定会有系统崩溃, 系统重装的事件; 此类事件多了之后, 我发现AD 中的computers下, 有很多无效的计算机帐户, 我自己重装做的PC , 我很清楚是哪些; 但其他人重装的, 我就不是很清楚了, 无法确定他们的PC 是否会重新接入内部AD 网络。这样的情况, 给网络中心管理PC 带来了一定的麻烦。 如何清理这些...
AD建设管理(三)| AD实践(用remoteapp修改初始化密码
本博客暂停使用
05-12 2294
ad部署好、组织和用户都创建完成后,需要考虑的是用户密码管理,这里有一个比较弱的windows server服务remoteapp,可以用它来修改管理员给用户下发的初始密码。但是它不能用来找回密码,只是修改下发的不能直接登录的初始化密码
漏洞权限管理-控制器告警
ITmoster的博客
11-13 373
最近的 Zerologon漏洞(CVE-2020-1472)成了特权提升漏洞的头条新闻,它可能会影响组织中的所有计算机控制器。 这个被称为Zerologon的高风险漏洞使威胁者可以轻松即时地访问控制器,而无需提供任何其他特权。这种攻击甚至不需要对用户进行身份验证;威胁者甚至只需要连接到内部网络即可。 什么是Zerologon漏洞? 这是Netlogon中的一个漏洞,该身份验证协议用于验证加入计算机控制器的身份。它被归类为高风险(CVSS评分为10),因此该漏洞意味着泄露用户帐户甚至不需要向
控服务器账号密码,在AD管理的服务器上
weixin_39945792的博客
07-31 3194
2010-11-09我创建了一个新用户名,但我没该性质,还是计算机管理员,我就用切换登录了。我在原先的用户名上设了密码,且对新用户名设为不可改密码,后来我就关机,电脑提示文件未保存等,我没管。第二次我开机就没了原始用户名,我想在新用户名上设密码,但出现“windows不能更改密码”,求高手告诉我如何设密码。谢谢!你用原来的帐户登录后在里面对它设置或更该密码试试。首先用现在的用户登录,打开控制面板/...
老生常谈一下在AD中细粒度设置密码策略
weixin_33737134的博客
02-27 1067
组策略配置问题 今天组里有个哥们遇见个问题,他需要给一些新建的管理账户设置一个专门的密码策略。他模仿defaut domain policy里面的设置,创建了个新的,然后应用到对应的OU上。听起来好像很合理的操作,但是居然不工作。 貌似正确的配置,其实不工作 这个问题其实是涉及到了在AD里面如何细粒度地给一部分人设定特殊的密码策略。在GPO里面,一般设置密码策略的时候,大家都习惯部署在根部节点...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值