本地管理员密码解决方案（LAPS）简介

本地管理员账户密码管理

编制人

杰里·福尔马切克

本地管理员密码管理

数据表

出版：2015年6月

上次更新时间：2018年6月

做者：

JiriFrmacek，微软

摘要：本文档简要概述了本地管理员密码解决方案（LAPS）

版权全部©2015MicrsftCrpratin。保留全部权利。

1、概述

本地管理员解决方案自动管理加入域的计算机上的本地管理员密码，所以密码为：

在每台受管计算机上惟一

随机生成

安全地存储在AD基础架构中

解决方案仅创建在AD基础设施上，所以不须要安装和支持其余技术。

解决方案自己是一个组策略客户端扩展，安装在托管计算机上并执行全部管理任务

随解决方案提供的管理工具容许轻松配置和管理。

2、架构

解决方案架构以下：

解决方案的核心是GP客户端扩展（CSE），它在GP更新期间执行如下任务：

1. 检查本地管理员账户的密码是否已过时

2. 当旧密码过时或须要在过时前更改时生成新密码

3. 更改管理员账户的密码

4. 将密码报告给passwrdactivedirectry，并将其存储在机密属性中，计算机账户位于AD中

5. 将下一个过时时间报告给活动目录，并将其存储在AD中的计算机账户的机密属性中

6. 而后容许用户从AD中读取密码

7. 受权用户能够强制更改密码

3、功能特点

解决方案功能包括：

安全性：

在托管计算机上自动按期更改的随机密码

有效缓解pass-the-hash***

经过kerbers加密在传输期间保护密码

密码在ad中受adacl保护，所以能够方便地实现粒度安全模型

可管理性

可配置的密码参数：期限、复杂性和长度

根据每台机器强制重置密码的能力

与adacl集成的安全模型

终端用户界面能够是任何AD管理工具的选择，另外还提供了自定义工具（pwershell和胖客户端）

防止计算机账户删除

易于实现，技术难度最小

4、要求

解决方案有如下要求：

活动目录：

Windws2003SP1及更高版本

托管计算机：

当前SP或更高版本的WindwsVista；x86或x64

当前SP及以上版本的Windws2003；x86或x64（不支持安腾）

管理工具：

.NETFramewrk4.0

pwershell2.0或更高版本