部署Microsoft LAPS分步指南

在本文档中，我将向您逐步介绍部署Microsoft LAPS的方法。本地管理员密码解决方案（LAPS）提供对加入域的计算机的本地帐户密码的管理。实施LAPS后，密码将存储在Active Directory（AD）中并受ACL保护，因此只有合格的用户才能读取或请求重置。对于要求用户在没有域凭据的情况下登录计算机的环境，密码管理可能会成为一个复杂的问题。本地管理员密码解决方案（LAPS）为此问题提供了解决方案，即在域中的每台计算机上使用具有相同密码的公用本地帐户。LAPS通过为域中每台计算机上的公共本地管理员帐户设置不同的随机密码来解决此问题。

想象一下您有很多服务器和工作站的情况。当无法使用域帐户登录服务器并执行管理任务时，您会遇到很大麻烦。

没有LAPS可以想象的一些场景–

a）        计算机失去与公司网络的连接，并且没有具有管理特权的缓存凭据。

b）        机器与域断开连接或意外从域断开连接，因此域凭据不能用于登录服务器并进行修复。

对于此类支持方案，支持人员需要知道本地密码

管理员帐户，能够登录到计算机并执行必要的管理任务。

我需要做什么之前，我部署Microsoft LAPS？

要安装Microsoft LAPS，您至少需要一台管理计算机和至少一台客户端计算机。就我而言，我正在域控制器上安装Microsoft LAPS。域中有一些客户端计算机，我们还将LAPS软件部署到这些客户端计算机。

支持的操作系统

Windows 10， Windows 7，Windows 8，Windows 8.1，Windows Server 2003，Windows

Server 2008，Windows Server 2008 R2，Windows Server 2012，Windows Server 2012 R2，Windows Vista

Active Directory ：（需要AD架构扩展）Windows 2003 SP1或更高版本。受管计算机：Windows Server 2003 SP2或更高版本，或Windows Server 2003 x64 Edition SP2或更高版本。

注意：不支持基于Itanium的计算机。

管理工具：.NET Framework 4.0和PowerShell 2.0或更高版本

如何安装和部署Microsoft LAPS软件

现在，我们将在管理计算机上安装LAPS fat客户端，PowerShell模块和组策略模板。单击下面的按钮 以下载Microsoft LAPS软件。您可以下载64位和32位版本。

下载Microsoft本地管理员密码解决方案软件

下载LAPS软件后，将msi文件复制到服务器上的共享文件夹中。就我而言，我已经在C驱动器上创建了一个共享文件夹，并且所有下载的文件都位于该文件夹中。右键单击LAPS x64，然后单击安装。

在LAPS设置向导中，点击下一步。

我们将选择所有要安装的功能。单击下一步。

点击安装。

点击完成。LAPS软件现已安装。

使用GPO将LAPS部署到客户端计算机

现在，我们将配置一个GPO，以将LAPS软件部署到客户端计算机。您也可以使用脚本方法来部署LAPS。如果要编写脚本，可以使用以下命令行进行静默安装：

msiexec / i <文件位置> LAPS.x64.msi / quiet或msiexec / i <文件位置> LAPS.x86.msi    

/安静

只需将<文件位置>更改为本地或网络路径。

安装到受管客户端的另一种方法是将AdmPwd.dll复制 到目标计算机并使用以下命令：regsvr32.exe AdmPwd.dll

启动组策略管理控制台，右键单击该域，然后单击“ 在此域中创建 GPO并在此处链接”。为GPO提供一个名称。

右键单击GPO，然后单击“ 编辑”。

在GPM编辑器中，展开“计算机配置”>“策略”>“软件设置”。右键单击“ 软件安装”，然后单击“ 新建” >“ 软件包”。

浏览找到文件所在的路径，然后选择LAPS软件。选择部署方法为“已分配”，然后单击“确定”。

现在，您已看到LAPS x64已导入。如果要添加x86 LAPS，则添加软件包后，请务必编辑x86软件包以取消选中 “ 使此32位X86应用程序可用于Win64计算机”选项。右键单击x86软件包> Properties > Deployment时，您会找到此选项。这将确保64位计算机获取64位DLL，而32位计算机获取32位DLL。关闭GPM编辑器。

要在客户端计算机上更新策略，请运行gpupdate命令。

在客户端计算机上，启动控制面板，然后单击“程序和功能”。您将看到在客户端计算机上安装了LAPS。

如何为LAPS配置Active Directory

让我们看看如何为LAPS配置Active Directory。我们将首先扩展AD模式。

确保用于此过程的用户帐户应该是Schema Admins Active Directory组的成员。需要通过两个新属性扩展Active Directory架构，这两个属性存储每台计算机的托管本地Administrator帐户的密码和密码到期的时间戳。这两个属性都添加到计算机类的maycontain属性集中。

ms-Mcs-AdmPwd –以明文形式存储密码

ms-Mcs-AdmPwdExpirationTime –存储重置密码的时间

要更新架构，您首先需要导入PowerShell模块。打开一个管理PowerShell窗口，并使用以下命令：

导入模块AdmPwd.PS   

Update- AdmPwdADSchema（此命令更新架构）

一旦运行了上述命令，您将发现操作的状态为Success。

一旦运行了上述命令，您将发现操作的状态为Success。

注–如果您在环境中安装了RODC，并且需要将ms-Mcs-AdmPwd属性的值复制到RODC，则需要更改ms-Mcs-AdmPwd模式的searchFlags属性值的第10位objet 减为0（从searchFlags属性的当前值减去 512 ）。有关在RODC筛选的属性集中添加属性或从中删除属性的更多信息，请参考 http://technet.microsoft.com/zh-cn/library/cc754794(v=WS.10).aspx。

在下一步，我们将授予计算机更新使用他们的密码属性的能力套装- AdmPwdComputerSelfPermission 命令。在此示例中，我将客户端计算机放在“ Comps OU”中。ms-Mcs  的写权限-

必须 将所有计算机帐户的 AdmPwdExpirationTime和 ms-Mcs-AdmPwd属性添加到SELF内置帐户中。这是必需的，因此计算机可以更新其自己的托管本地管理员密码的密码和到期时间戳。  这是使用PowerShell完成的。  如果这是一个新窗口，则可能需要运行导入模块AdmPwd.PS。

设置-AdmPwdComputerSelfPermission - OrgUnit <要委派权限的OU的名称>

对包含计算机帐户的所有其他OU重复此过程。

删除扩展权限 –为了将查看密码的权限限制于特定用户和组，您需要从不允许读取属性ms-Mcs-AdmPwd的用户和组中删除“所有扩展权限” 。这是必需的，因为“所有扩展权限”都还授予读取机密属性的权限。如果要对所有计算机执行此操作，则需要在包含这些计算机的每个OU上重复以下步骤。 除非已禁用权限继承，否则无需对已处理的OU的子容器执行此操作。

1.  打开ADSIEdit

2.  右键单击包含要安装此解决方案的计算机帐户的OU，然后选择“ 属性”。

3。 

单击安全 选项卡。

4.  单击高级。

5.  选择您不想读取密码的组或用户，然后单击编辑。

6.  取消选中所有扩展权限。

若要快速查找哪些安全主体具有对该OU的扩展权限，可以使用PowerShell cmdlet。如果这是一个新窗口，则  可能需要运行导入模块AdmPwd.PS。

查找-AdmPwdExtendedrights- 身份 “ OU NAME”

在下一步中，我们将授予用户权限，以允许他们检索计算机的密码。

我们将使用Set- AdmPwdReadPasswordPermission 命令来执行此操作。

设置-AdmPwdReadPasswordPermission - OrgUnit <要委派权限的OU的名称> -AllowedPrincipals <用户或组>

如何为LAPS配置组策略

启动组策略管理控制台。我更喜欢创建一个新策略来应用密码设置。右键单击您的域计算机所在的OU，然后单击“在此域中创建GPO并在此处链接”。指定此GPO的名称，然后单击“确定”。接下来，编辑GPO。

设置位于“计算机配置”>“管理模板”>“ LAPS”下。您会看到存在4个设置。我们将配置所需的那些。

右键单击策略设置“ 启用本地管理员密码管理” ，然后单击“ 属性”。当我们要管理本地管理员密码时，我们将启用策略设置。单击确定。

我们将启用的第二个策略设置是密码设置。默认情况下，此解决方案使用密码最大复杂度为14个字符的密码，并每30天更改一次密码。您可以通过编辑组策略来更改值以适合您的需求。您可以更改各个密码设置以适合您的需求。单击确定。

管理员帐户名称 –如果您决定管理自定义本地管理员帐户，则必须在组策略中指定其名称。我尚未配置此策略设置。

防止计划太长的密码重置时间 –如果您不想让管理员帐户的计划密码过期时间设置为超过最大密码使用期限，则可以在GPO中进行此操作。

如果你想查看使用计算机的密码设置的PowerShell，GetAdmPwdPassword会帮助你。

导入模块AdmPwd.PS

GET- AdmPwdPassword - 计算机名 “ 计算机名 “

如果没有被授予查看本地管理员密码权限的用户尝试访问该密码，会发生什么情况？  如果他们要访问GUI界面，则不会显示密码。

对于GUI用户，有一种很酷的方法来查找密码设置。 以管理员身份运行AdmPwd.UI文件。该文件位于C驱动器>程序文件> LAPS文件夹下。在LAPS UI窗口中，输入计算机名称，然后单击搜索。显示密码以及有效期信息。

配置完所有内容，并在客户端上刷新组策略后，您可以查看计算机对象的属性并查看新设置。密码以纯文本格式存储。