1. 首页首页
  2. 编程基础编程基础

如何搭建LAPS?如何统一给域的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?

编程基础 阅读 84

如何搭建LAPS?如何统一给域的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?1 如何搭建 LAPS 2 如何统一给域的电脑设置本地管理员密码 3 比组策略推送脚本更改本地管理员密码更好的方式 4 LAPS 的好处特点 加域账户本地管理员账户密码

目录

LAPS简介

在AD DC控制器执行的操作如下

第一步:安装LAPS工具

第二步:更新AD DC域控架构

第三步:添加机器权限

第四步:添加指定用户或者组能查看域计算机本地账号密码

第五步:通过组策略统一给客户端安装LAPS的插件

第六步:配置LAPS组件的策略。

最后一步:测试

LAPS简介

目的:每一个加域的PC本地的管理员都不一样,且以密文的形式存于AD域控中,安全性非常高。。

LAPS功能的好处:提供了管理本地管理员密码的解决方案。

特点:

①强化本地管理员密码安全性

②减少密码泄露风险。

③审计与追踪能力

个人觉得最大特点:安全性大大增加,比通过组策略下达脚本统一域pc的本地管理员密码好太多。每台域pc密码随机,可以设置,多少天一换密码。

用户出差,遇到无法远程他的电脑时候,可以给本地管理员密码暂时使用,回到公司,连接内网,自动更新新的密码。

在AD DC控制器执行的操作如下

第一步:安装LAPS工具

环境:AD域控环境。

安装包:官网下载(微软)

第二步:更新AD DC域控架构

更新的目的:给计算机属性增加字段。(存密码的字段等)

增加的字段如下:

①ms-Mcs-AdmPwd:该属性存储了由LAPS生成的随机密码。

②ms-Mcs-AdmPwdExpirationTime:此属性指示密码的到期时间。管理员可以配置密码的有效期,超过该期限后,LAPS会自动重新生成新的密码并将其应用到计算机。

③ms-Mcs-AdmPwdComplexityEnabled:该属性控制是否启用密码复杂性要求。如果启用,则生成的密码将遵循指定的密码策略要求。

④ms-Mcs-AdmPwdHistoryLength:此属性指定保留的密码历史纪录长度。它确保生成的密码与先前使用过的密码不重复。

在AD域控管理员方式打开powershell :

第一句:导入模块admpwd.ps

第二句:更新

C:\Users\Administrator> Import-Module admpwd.ps C:\Users\Administrator> Update-AdmPwdADSchema

成功标志:

第三步:添加机器权限

新增加的计算机帐户的两个字段 ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd 属性的写入权限添加到 SELF 内置帐户。目的:以便机器可以更新其自己管理的本地管理员密码的密码和过期时间戳。

在AD域控管理员方式打开powershell :

 Set-AdmPwdComputerSelfPermission -OrgUnit   XXXX

//XXX为:存在计算机的OU名称

第四步:添加指定用户或者组能查看域计算机本地账号密码

简单讲:就是委派哪些用户或者组,具有权限能看到本地管理员的密码。

在AD域控管理员方式打开powershell :

Set-AdmPwdReadPasswordPermission -OrgUnit  YYY  -AllowedPrincipals XXX
XXX //为指定域用户或者是组 YYY //为存放计算机的对象的OU名称

PS:另外还可以委派哪些组或者用户能看到LAPS新增的字段的值,以及重置密码。

后续再展开描述。

注意:授权指定域用户看到密码,电脑一定要安装轻型的LADP工具。如下图:

第五步:通过组策略统一给客户端安装LAPS的插件

客户端也要安装LAPS的插件,域控才能控制客户端的下发密码。

我们不需要一台台给域用户的电脑安装,只要电脑加了域。就可以使用组策略统一下发。

方法1:通过组策略推送.bat或者powershell脚本安装

脚本如下:(都是静默安装的)

@echo off msiexec/i    安装包路径\LAPS.x64.msi  /suiet msiexec /i   安装包路径\LAPS.x86.msi /quiet

其中:LAPS.x64 是64位系统的PC。LAPS.x86是32位系统的PC。

方法2:直接将AdmPwd.dll 文件复制到客户端的PC(可通过组策略推送)

AdmPwd.dll 如何找到?直接在客户端安装LAPS。

在此路径:C:\Program Files\LAPS\CSE  即可找到

接着:将AdmPwd.dll 导入系统之中:

管理员打开cmd输入:regsvr32.exe AdmPwd.dll

方法3:手动一台台的安装LAPS组件。

但是LAPS有些插件不需要安装。(此处省略)

第六步:配置LAPS组件的策略。

在AD域控打开组策略管理编辑器。(对于组策略的基本操作,创建等跳过)

策略具体过程:(记住策略要应用到计算机对象的OU)

计算机配置-策略-管理模板-LAPS

 这个4条关于LAPS的策略,规定密码位数、复杂程度、给域PC创建的本地账号的名称自定义等参数配置,具体自行查看。

最后一步:测试

在AD域控打开LAPS UI工具。输入计算机名称

在计算机端,输入开机账号输入我们自定义的账号。(在策略那里定义的,看你自己喜欢什么账号咯) 接着输入密码。即可登录。

今天的文章 如何搭建LAPS?如何统一给域的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?分享到此就结束了,感谢您的阅读。
编程小号
上一篇 2024-12-08 10:40
下一篇 2024-12-08 10:33

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ji-chu/81060.html