密码学始终是保护计算基础设施的痛点。复杂性和长度是强密码的主要因素,但它们很难记住,必须定期更改。当您只使用少数设备时,这很好,但当您的网络在地理上分散并且有数百或数千台连接的计算机时,就特别难以记住。
Microsoft 提供了本地管理员密码解决方案(LAPS) 作为此问题的解决方案,但它并不像Microsoft 的其他解决方案那样广为人知。LAPS 是一个实用程序,可使用用户定义的复杂性参数按指定的计划自动重置本地管理员密码。
ⓒ 盖蒂图片银行
使用 LAPS 的最佳方法
任何有经验的 Windows 管理 印度 WhatsApp 号码数据 员都知道,属于 Microsoft Active Directory (AD) 域的大多数 Windows 计算机都维护本地域帐户。这是为了即使在域不可用的情况下(例如网络问题或缺少硬件驱动程序)也可以管理单个设备。然而,保护本地帐户很困难。组策略提供了在策略范围内更改计算机默认管理员帐户名称的选项,但密码管理需要一些额外的工作。
安装和配置 LAPS 涉及在一台或多台管理服务器上安装软件、对 AD 架构进行少量修改、使用组策略配置设置以及将加载项部署到成员服务器和工作站。让我们详细看看每个步骤,并了解您在此过程中可能遇到的一些问题。
部署 LAPS 的第一步是在已安装组策略管理工具的服务器上安装 LAPS。此外,由于 LAPS 部署过程涉及修改 AD 架构,因此我们建议将其安装在域控制器上,最好是具有架构主机角色的域控制器。安装时,我们建议在“管理工具”节点下安装所有功能,例如胖客户端 UI、PowerShell 模块和组策略对象 (GPO) 编辑器模板。
第二步是配置 AD 来存储每台计算机的本地管理员密
码和密码的到期 数字列表 候就需要 修改AD schema,添加字段。如果打开管理 PowerShell 窗口并运行Import-命令,然后运行 Update-AdmPwdADSchema,您将看到列出的三个已成功执行的操作。如果在此阶段遇到问题,您应该验证用户是否具有适当的架构管理员权限、AD 架构管理单元是否已注册 ( regsvr32 schmmgmt.dll ),以及 AD 复制是否正常。
ⓒ 铸造厂
第三步,您必须在 AD 中包含计算机帐户的组织单位 (OU) 中配置一些权限,以允许计算机设置本地管理员密码,并允许管理员在必要时读取和重置这些密码。您可以手动执行此操作,但 LAPS 提供了可以在 PowerShell 中运行的命令 (cmdlet),这对于管理这些权限非常有用。Set-AdmPwdComputerSelfPermission cmdlet 可用于在 OU 中配置权限,以允许计算机存储本地管理员密码并跟踪更改日期。Set-AdmPwdReadPasswordPermission和Set-AdmPwdResetPasswordPermission分别是允许指定组检索或重置密码的命令。
最后是与 LAPS 配置相关的组策略设置。计算机配置/策略/管理模板/LAPS 下有四个简单的设置:
密码设置允许您指定应使用的复杂性字符类型、要创建的密码的长度以及自动重置密码的时间。
第二个设置用于标识要管理的本地管理员帐户。仅当您管理的帐户不是默认管理员帐户,并且您管理的帐户不应用于引用默认管理员帐户(即使名称已更改)时,才使用此设置。
第三个设置用于确保LAPS密码过期时间不超过标准AD密码设置策略的过期时间。
最后一个设置启用本地管理员密码管理设置。此设置为 GPO 范围内的计算机启用 LAPS。
