域内计算机本地管理员密码管理

随着互联网技术的不断发现，信息安全在企业中的受重视度也愈来愈高，终端管理是信息安全中相当重要的一环，不可能要求终端用户和服务器管理员有着同样的安全隐患意识和技术水平，所以在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为相当重要。其中作好权限的管理是重中之重，而企业内终端的密码管理则是权限管理的基础。

在小型企业中，PC客户端直接使用客户端，这种方式终端上须要管理的密码只有工做组帐号密码，这种熟练较少，只有使用excel等其余小工具管理便可。在中大型企业中，则会使用AD活动目录来进行统一身份认证，此时域用户帐号的密码则集中保留中AD数据库中，而且用户权限也是保留在AD中，AD的安全性远高于普通PC，所以安全性大大提高。

可是使用活动目录，如何管理入域计算机的本地管理员密码是企业IT运维管理员头疼的一件事，基数庞大且在处理故障时又确实须要本地管理员帐号，如下我就介绍几种在企业中常见的域内计算机本地管理员帐号管理方式，其中着重介绍LAPS（Local Administrator Password Solution）。

常见的几种本地管理员密码管理方式

1.直接禁用本地管理员

这是一种简单粗暴的方式，直接省去管理本地帐号的工做，这种方式可使用组策略来实现，问题是电脑因故障脱离域，或是没法使用域帐号登陆时，电脑就没法登陆，须要借助PE等工具启用本机管理员并设置密码。虽然管理简单可是安全性有保障。

2.使用统一的本地管理员密码

这种方式在企业中最为常见，本地administrator管理员密码掌握在少数管理员手中，全公司或者单个部门保持一致的本地管理员密码（能够经过组策略实现），这种方式对于helpdesk运维工做带来的极大的方便，可是只要出现密码泄露则会带来极大的隐患，并非很推荐的作法。

3.每台电脑设置不同的密码

每台电脑设置一个不一样的管理员密码，由IT人员记录在Excel或是笔记本上；但存在的问题是：每次要找某台电脑的管理员密码时，要去找文件或是记录，并且也不能定时修改！这种方式大大的增长的IT人员的运维工做量。

4.为每台PC本地管理员设置随机密码

在少部分企业中，经过计算机开机脚本，为每台计算机设置随机密码，并经过其余方法配合禁止有本地管理员权限的用户去更改本地帐号密码，此种方式与直接禁用本地管理员帐号优缺点并不太大差别。

5.使用LAPS统一管理计算机本地管理员密码

优势：

• 全自动，可配置的计算机本地管理员账户更新

• 经过OU访问存储的密码的简单委派。

• 因为LAPS利用了Active Directory组件（组策略，计算机对象属性等），所以不须要其余服务器。

• 计算机账户只能写入/更新本身的本地管理员账户密码（ms-Mcs-AdmPwd属性），而不能从该属性读取密码。

• 密码更新流量已加密。

• 能够轻松地为OU中的每台计算机更改密码。

• 免费

缺点：

• 仅存储当前密码，而且可供检索

• 一次只能由LAPS管理一个本地管理员账户的密码（只有一个密码属性）

• 域控制器的危害可能会危害域中的全部本地管理员账户密码。

• 密码能够随时访问，并能够由委派的密码人员随时使用。虽然能够启用审核，但必须按每一个OU，每一个组配置，以便在域控制器上记录事件ID 4662。

  
  

LAPS组件

代理-组策略客户端扩展（CSE）-经过MSI安装

• 事件记录

• 随机密码生成-从客户端计算机写入AD计算机对象

PowerShell模块

• 权限配置

Active Directory-集中控制

• 域控制器安全日志中的审核跟踪

• 计算机对象特殊属性（ms-Mcs-AdmPwd、ms-Mcs-AdmPwdExpirationTime）

LAPS受支持的版本

活动目录：

• Windows 2003 SP1及更高版本

受管/客户端计算机：

• Windows Server 2016

• Windows Server 2012 R2数据中心（x86或x64）

• Windows Server 2012 R2标准（x86或x64）

• Windows Server 2012 R2基础（x86或x64）

• Windows 8.1企业版（x86或x64）

• Windows 8.1专业版（x86或x64）

• Windows Server 2012数据中心（x86或x64）

• Windows Server 2012标准版（x86或x64）

• Windows Server 2012 Essentials（x86或x64）

• Windows Server 2012基础（x86或x64）

• Windows 8企业版（x86或x64）

• Windows 8专业版（x86或x64）

• Windows Server 2008 R2 Service Pack 1（x86或x64）

• Windows 7 Service Pack 1（x86或x64）

• Windows Server 2008 Service Pack 2（x86或x64）

• Windows Vista Service Pack 2（x86或x64）

• Microsoft Windows Server 2003 Service Pack 2（x86或x64）

• 不支持Itanium

管理工具：

• NET Framework4.0

• PowerShell 2.0 或更高版本

LAPS运做核心

LAPS简化了密码管理，同时帮助客户实施针对网络***的建议防护措施。特别是，该解决方案可减轻客户在计算机上使用相同的管理本地账户和密码组合时出现的横向风险。LAPS将每台计算机的本地管理员账户的密码存储在Active Directory中，并在计算机的相应Active Directory对象的安全属性中进行保护。容许计算机在Active Directory中更新其本身的密码数据，而且域管理员能够向受权用户或组（如工做站服务台管理员）授予读取权限。

使用LAPS能够自动管理加入域的计算机上的本地管理员密码，以便每一个受管计算机上的密码都是惟一的，是随机生成的，而且安全地存储在Active Directory基础结构中。该解决方案创建在Active Directory基础结构上，不须要其余支持技术。LAPS使用您在受管计算机上安装的组策略客户端扩展（CSE）来执行全部管理任务。该解决方案的管理工具可轻松配置和管理。

LAPS解决方案的核心是GPO客户端扩展（CSE），它执行如下任务，并能够在GPO更新期间执行如下操做：

• 检查本地Administrator账户的密码是否已过时。

• 当旧密码过时或须要在过时以前进行更改时，生成新密码。

• 根据密码策略验证新密码。

• 将密码报告给Active Directory，并将密码和机密属性一块儿存储在Active Directory中。

• 将密码的下一个到期时间报告给Active Directory，并将该属性与计算机账户的属性一块儿存储在Active Directory中。

• 更改管理员账户的密码。

• 而后，容许这样作的用户能够从Active Directory中读取密码。合格的用户能够请求更改计算机的密码。

LDAPS安装部署

1.安装LAPS.exe组件

通常使用DC做为服务器端，安装时，务必不勾选第一项，防止策略误下发影响AD域管理员密码。

2.架构扩展

在DC中运行：

Import-Module Admpwd.ps

Update-AdmPwdADSchema

此时查看AD的计算机属性会出现两个新的属性，分别是ms-MCS-AdmPwd（存储密码）和ms-MCS-AdmPwd（存储过时时间）。

3.删除默认的扩展权限

密码存储属于机密内容，若是对电脑所在的OU权限配置不对，可能会使非受权的用户能读取密码，因此从用户和组的权限中删除“All extended rights”属性的权限，不容许读取属性 ms-Mcs-AdmPwd 的值。

• 若是须要，请对每一个放置电脑的OU重复如下操做，若是子OU且你禁用了权限继承，则每一个子OU也要作相同的配置。

• 打开ADSIEdit

• 在你须要配置的计算机所在OU上点击右键、属性

• 单击安全选项卡

• 单击高级

• 选择不想要能读取密码的组或用户，而后单击编辑。

• 取消选中全部扩展的权限

4.使用PowerShell管理LAPS权限

Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"

全部计算机账户自己都须要有写入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd属性的权限，此命令是让计算机本机能够更新的管理本地管理员密码的密码和过时时间戳

Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang

设置willwang帐号容许读取ComputerGroup的OU内的计算机本地管理员密码

Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang

设置willwang帐号容许设置ComputerGroup的OU内的计算机本地管理员密码

Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}

查找ComputerGroup的OU内的密码权限分配

5.客户端安装GPO扩展（CSE）

有两种方式，可使用组策略软件安装选项，也可使用脚本。

组策略软件安装选项配置

开机脚本安装

msiexec /i \\server\share\LAPS.x64.msi /quiet

安装后，在客户端上可看到此安装选项。

6.组策略下发

按配置选项进行策略配置。

Password Settings配置密码参数

密码复杂性：

生成新密码时使用哪些字符

默认值：

大字母+小写字母+数字+特殊字符

密码长度：

最少：8个字符

最大值：64个字符

默认值：14个字符

密码年龄（天）：

最少：1天

最长：365天

默认值：30天

Name of administrator account to manage本地管理员名称管理

管理员账户名称——要为其管理密码的本地账户的名称。

使用内置管理员账户时请勿配置。即便重命名，内置的管理员账户也会由知名的SID自动检测

在使用自定义本地管理员账户时进行配置

Do not allow password expiration time longer than required by policy密码到期时间可能比“密码设置”策略所需的时间长

启用此设置时，不容许计划密码到期时间长于“密码设置”策略规定的密码时间。当检测到此类到期时，当即更改密码并根据策略设置密码到期。

禁用或未配置此设置时，密码到期时间可能比“密码设置”策略所需的时间长。

Enable local admin password management启用本地管理员账户的密码管理

若是启用此设置，则管理本地管理员密码

若是禁用或未配置此设置，则无论理本地管理员密码

7.客户端刷新策略，生效

在使用LAPS UI修改密码时，客户端必需刷新策略，客户端更改后再写入到AD中。

参考连接：

https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN

做者： 王志辉

优质文章

腾讯PaaS平台 | 主机名设置错误怎么办？

Redis持久化介绍

4大步骤节省30%浪费，优化企业上云成本从了解云开始！

运维思考 | 你知道CMDB与监控是什么关系吗？

【干货】4种Oracle DBaaS部署模式，你在使用哪种？