在日常工作中会碰到一些客户端本地管理员密码管理不方便的情况,不能批量\方便的进行客户端管理员密码的设定,

或者是统一设定密码后一旦密码泄露将会影响所有的客户端等一系列的问题.

微软推出了Local Administrator Password Solution (LAPS)就能够很好的解决这个问题.

 

测试环境:

域 控:Windows Server 2012R2

新建OU:Client和User

Client用来存放客户端和

User存放新建的两个用户分别是张三(普通用户)和李四(桌面管理员)

新建组:LAPAdmins 将李四加入此组

客户端:Windows 7

1. 运行下载好的LAPS.x64.msi .域控上仅勾选后两个选项就够了.

使用LAPS管理本地管理员密码(1)_第1张图片

2. 扩展AD的架构

使用管理员权限运行POWERSHELL

使用Import-module AdmPwd.PS导入Admpwd.ps模块

使用LAPS管理本地管理员密码(1)_第2张图片

使用Update-AdmPwdADSchema扩展架构

使用LAPS管理本地管理员密码(1)_第3张图片

3. 扩展属性设置

运行ADSIEdit.msc打开ADSI属性编辑器

右键连接到默认命名上下文

右键点击Client的OU 选择属性>安全>高级,在不希望他访问到这个属性的帐号中取消所有扩展权限前的勾.

使用LAPS管理本地管理员密码(1)_第4张图片

注意:这会隐式拒绝这个用户访问所有的扩展权限.默认情况下不设置这一步也可以正常使用,在此仅为大家提供一个权限管理的思路供参考.

然后我们可以使用下面的命令查询一下Client这个OU的访问权限

clip_p_w_picpath010_thumb

4. 使用以下命令授予计算机修改本机ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd这两个扩展属性的权限。

clip_p_w_picpath012_thumb

5. 使用以下命令设置读取计算机扩展属性的权限组为LAPAdmins

clip_p_w_picpath014_thumb

使用以下命令设置重置密码的权限组为LAPAdmins

clip_p_w_picpath016_thumb

到这里,扩展和权限设置的工作就做完了.关于权限的设置大家可以灵活的根据自己的实际需要进行配置.毕竟每个环境的需求都是不一样的.

6. 组策略的设置分为两部分:客户端分发策略和密码设置策略.

因为提供了MSI的包,所以软件的分发非常方便.新建一条GPO:LAPS Setup。如下图设置,其他页保持默认即可。然后将这条组策略链接至我们建立的User这个OU。

使用LAPS管理本地管理员密码(1)_第5张图片

我们再新建一个GPO:LAPS Setting来对密码重置的策略进行设置。

打开计算机配置我们发现有一个LAPS的模板提供了4条策略可以使用。

使用LAPS管理本地管理员密码(1)_第6张图片

首先是密码的设置,提供了多种复杂度的组合方式、密码长度和密码重置周期的设置。

使用LAPS管理本地管理员密码(1)_第7张图片

接下来是输入本地管理员的用户名,如果你修改的不是内置的Administrator,请在这里指定你希望修改的用户名,在未配置的情况下默认为内置的Administrator。

使用LAPS管理本地管理员密码(1)_第8张图片

接下来这一项是为了重置周期与密码有效期策略配合使用的设置。因为很多公司都有自己的密码过期策略,启用这一项可以避免两个配置发生冲突。

使用LAPS管理本地管理员密码(1)_第9张图片

最后一项启用配置后确认对本地管理员密码开始进行设置。

 

使用LAPS管理本地管理员密码(1)_第10张图片

以上,4条策略的配置就已经完成。将这条GPO链接至Client这个OU上,AD上的设置就已经完成了。

7. 最后,我们检验一下效果。

使用域用户登陆,以确保组策略生效自动安装客户端工具,正常登陆后如下图:

使用LAPS管理本地管理员密码(1)_第11张图片

安装完成后重新启动系统就可以在AD的计算机账户中看到ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd两个的值已经记录了新的密码和重置时间了.

使用LAPS管理本地管理员密码(1)_第12张图片

至此已经完成了所有的设定与测试.后续我会再更新一篇文章简单说一下在应用场景中会碰到的一些情况和解决的方法.

 

LAPS工具下载地址:点我下载