LAPS搭建指南：统一管理域内计算机本地管理员密码

LAPS搭建指南：统一管理域内计算机本地管理员密码

引用

CSDN

1.

https://blog.csdn.net/weixin_45694548/article/details/131988806

LAPS简介

LAPS（Local Administrator Password Solution）的主要目的是确保每个加入域的PC具有不同的本地管理员密码，并以密文形式存储在AD域控制器中，从而大大提高了安全性。其主要特点包括：

• 强化本地管理员密码安全性
• 减少密码泄露风险
• 提供审计与追踪能力

与传统的组策略推送脚本更改本地管理员密码相比，LAPS的最大优势在于每台域PC的密码都是随机生成的，可以设置定期更换密码的策略。当用户出差需要临时使用本地管理员密码时，返回公司后连接内网即可自动更新新的密码。

在AD DC控制器执行的操作

第一步：安装LAPS工具

环境要求：AD域控环境
安装包来源：微软官网

第二步：更新AD DC域控架构

更新目的：为计算机属性添加存储密码所需的字段。

新增字段包括：

• ms-Mcs-AdmPwd：存储由LAPS生成的随机密码
• ms-Mcs-AdmPwdExpirationTime：指示密码的到期时间
• ms-Mcs-AdmPwdComplexityEnabled：控制是否启用密码复杂性要求
• ms-Mcs-AdmPwdHistoryLength：指定保留的密码历史记录长度

操作步骤：

Import-Module admpwd.ps
Update-AdmPwdADSchema

第三步：添加机器权限

为计算机账户的ms-Mcs-AdmPwdExpirationTime和ms-Mcs-AdmPwd属性添加写入权限给内置SELF账户，以便机器可以更新其本地管理员密码和过期时间戳。

操作步骤：

Set-AdmPwdComputerSelfPermission -OrgUnit "XXX"

其中，XXX为存放计算机的OU名称。

第四步：添加指定用户或组查看权限

配置哪些用户或组具有查看域计算机本地管理员密码的权限。

操作步骤：

Set-AdmPwdReadPasswordPermission -OrgUnit "YYY" -AllowedPrincipals "XXX"

其中，XXX为指定的域用户或组，YYY为存放计算机的OU名称。

第五步：通过组策略统一安装LAPS插件

为了使域控能够控制客户端的密码下发，需要在客户端安装LAPS插件。可以通过以下三种方式实现：

1. 通过组策略推送批处理脚本或PowerShell脚本进行静默安装

   @echo off
   msiexec /i 安装包路径\LAPS.x64.msi /quiet
   msiexec /i 安装包路径\LAPS.x86.msi /quiet
   

2. 通过组策略推送AdmPwd.dll文件

• 找到AdmPwd.dll文件（位于C:\Program Files\LAPS\CSE）
• 使用命令regsvr32.exe AdmPwd.dll导入系统

3. 手动安装（不推荐）

第六步：配置LAPS组件策略

在组策略管理编辑器中配置LAPS相关策略，包括密码位数、复杂程度和本地账号名称等参数。

路径：计算机配置 -> 策略 -> 管理模板 -> LAPS

最后一步：测试

使用LAPS UI工具输入计算机名称，然后使用自定义的本地管理员账号和密码登录测试。