使用LAPS管理本地管理员密码(1)

在平常工做中会碰到一些客户端本地管理员密码管理不方便的状况,不能批量\方便的进行客户端管理员密码的设定,

或者是统一设定密码后一旦密码泄露将会影响全部的客户端等一系列的问题.

微软推出了Local Administrator Password Solution (LAPS)就可以很好的解决这个问题.

 

测试环境:

域 控：Windows Server 2012R2

新建OU：Client和User

Client用来存放客户端和

User存放新建的两个用户分别是张三(普通用户)和李四(桌面管理员)

新建组：LAPAdmins 将李四加入此组

客户端：Windows 7

1. 运行下载好的LAPS.x64.msi .域控上仅勾选后两个选项就够了.

2. 扩展AD的架构

使用管理员权限运行POWERSHELL

使用Import-module AdmPwd.PS导入Admpwd.ps模块

使用Update-AdmPwdADSchema扩展架构

3. 扩展属性设置

运行ADSIEdit.msc打开ADSI属性编辑器

右键链接到默认命名上下文

右键点击Client的OU 选择属性>安全>高级,在不但愿他访问到这个属性的账号中取消全部扩展权限前的勾.

注意:这会隐式拒绝这个用户访问全部的扩展权限.默认状况下不设置这一步也能够正常使用,在此仅为你们提供一个权限管理的思路供参考.

而后咱们可使用下面的命令查询一下Client这个OU的访问权限

4. 使用如下命令授予计算机修改本机ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd这两个扩展属性的权限。

5. 使用如下命令设置读取计算机扩展属性的权限组为LAPAdmins

使用如下命令设置重置密码的权限组为LAPAdmins

到这里，扩展和权限设置的工做就作完了.关于权限的设置你们能够灵活的根据本身的实际须要进行配置.毕竟每一个环境的需求都是不同的.

6. 组策略的设置分为两部分:客户端分发策略和密码设置策略.

由于提供了MSI的包,因此软件的分发很是方便.新建一条GPO:LAPS Setup。以下图设置，其余页保持默认便可。而后将这条组策略连接至咱们创建的User这个OU。

咱们再新建一个GPO：LAPS Setting来对密码重置的策略进行设置。

打开计算机配置咱们发现有一个LAPS的模板提供了4条策略可使用。

首先是密码的设置，提供了多种复杂度的组合方式、密码长度和密码重置周期的设置。

接下来是输入本地管理员的用户名,若是你修改的不是内置的Administrator，请在这里指定你但愿修改的用户名，在未配置的状况下默认为内置的Administrator。

接下来这一项是为了重置周期与密码有效期策略配合使用的设置。由于不少公司都有本身的密码过时策略，启用这一项能够避免两个配置发生冲突。

最后一项启用配置后确认对本地管理员密码开始进行设置。

 

以上，4条策略的配置就已经完成。将这条GPO连接至Client这个OU上，AD上的设置就已经完成了。

7. 最后，咱们检验一下效果。

使用域用户登录，以确保组策略生效自动安装客户端工具，正常登录后以下图：

安装完成后从新启动系统就能够在AD的计算机帐户中看到ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd两个的值已经记录了新的密码和重置时间了.

至此已经完成了全部的设定与测试.后续我会再更新一篇文章简单说一下在应用场景中会碰到的一些状况和解决的方法.

 

LAPS工具下载地址:点我下载