使用LAPS管理本地管理员密码(1)
在日常工作中会碰到一些客户端本地管理员密码管理不方便的情况,不能批量\方便的进行客户端管理员密码的设定,
或者是统一设定密码后一旦密码泄露将会影响所有的客户端等一系列的问题.
微软推出了Local Administrator Password Solution (LAPS)就能够很好的解决这个问题.
测试环境:
域 控:Windows Server 2012R2
新建OU:Client和User
Client用来存放客户端和
User存放新建的两个用户分别是张三(普通用户)和李四(桌面管理员)
新建组:LAPAdmins 将李四加入此组
客户端:Windows 7
1. 运行下载好的LAPS.x64.msi .域控上仅勾选后两个选项就够了.
2. 扩展AD的架构
使用管理员权限运行POWERSHELL
使用Import-module AdmPwd.PS导入Admpwd.ps模块
使用Update-AdmPwdADSchema扩展架构
3. 扩展属性设置
运行ADSIEdit.msc打开ADSI属性编辑器
右键连接到默认命名上下文
右键点击Client的OU 选择属性>安全>高级,在不希望他访问到这个属性的帐号中取消所有扩展权限前的勾.
注意:这会隐式拒绝这个用户访问所有的扩展权限.默认情况下不设置这一步也可以正常使用,在此仅为大家提供一个权限管理的思路供参考.
然后我们可以使用下面的命令查询一下Client这个OU的访问权限
4. 使用以下命令授予计算机修改本机ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd这两个扩展属性的权限。
5. 使用以下命令设置读取计算机扩展属性的权限组为LAPAdmins
使用以下命令设置重置密码的权限组为LAPAdmins
到这里,扩展和权限设置的工作就做完了.关于权限的设置大家可以灵活的根据自己的实际需要进行配置.毕竟每个环境的需求都是不一样的.
6. 组策略的设置分为两部分:客户端分发策略和密码设置策略.
因为提供了MSI的包,所以软件的分发非常方便.新建一条GPO:LAPS Setup。如下图设置,其他页保持默认即可。然后将这条组策略链接至我们建立的User这个OU。
我们再新建一个GPO:LAPS Setting来对密码重置的策略进行设置。
打开计算机配置我们发现有一个LAPS的模板提供了4条策略可以使用。
首先是密码的设置,提供了多种复杂度的组合方式、密码长度和密码重置周期的设置。
接下来是输入本地管理员的用户名,如果你修改的不是内置的Administrator,请在这里指定你希望修改的用户名,在未配置的情况下默认为内置的Administrator。
接下来这一项是为了重置周期与密码有效期策略配合使用的设置。因为很多公司都有自己的密码过期策略,启用这一项可以避免两个配置发生冲突。
最后一项启用配置后确认对本地管理员密码开始进行设置。
以上,4条策略的配置就已经完成。将这条GPO链接至Client这个OU上,AD上的设置就已经完成了。
7. 最后,我们检验一下效果。
使用域用户登陆,以确保组策略生效自动安装客户端工具,正常登陆后如下图:
安装完成后重新启动系统就可以在AD的计算机账户中看到ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd两个的值已经记录了新的密码和重置时间了.
至此已经完成了所有的设定与测试.后续我会再更新一篇文章简单说一下在应用场景中会碰到的一些情况和解决的方法.
LAPS工具下载地址:点我下载
转载于:https://blog.51cto.com/38088444/1727817
使用LAPS管理本地管理员密码(1)相关推荐
- 域内计算机本地管理员密码管理
随着互联网技术的不断发现,信息安全在企业中的受重视度也越来越高,终端管理是信息安全中至关重要的一环,不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平,因此在终端管理员层如何制定完善终端 ...
- LAPS本地管理员密码之使用PowerShell查看和重置密码
目录 目录 一.PowerShell策略设置 二.引入AdmPwd.PS模块 三.查看指定电脑管理员密码 四.强制重置指定电脑管理员密码 文章说明 文章主要介绍在部署了LAPS后,怎么使用PowerS ...
- 本地管理员密码解决方案 Local Admin Password Solution (LAPS)
据调查,大多数的企业在部署AD域后,针对客户端电脑的本机管理员采用以下几种方式管理方式: 1. 禁用本机管理员,只使用域账登录:但存在的问题是:当电脑因故障脱离域,或是无法使用域账号登录时,电脑就无法 ...
- 计算机管理员密码保护,本地管理员密码解决方案(LAPS)简介
本地管理员帐户密码管理 编制人 杰里·福尔马切克 本地管理员密码管理 数据表 出版:2015年6月 上次更新时间:2018年6月 作者: JiriFrmacek,微软 摘要:本文档简要概述了本地管理员 ...
- 脚本修改域内本地管理员密码
一台一台的修改域内计算机本地管理员密码不太现实,在没有Configuration manager这些工具的情况下,使用脚本来修改本地密码也颇为方便: 'Script for change the lo ...
- Windows域策略 统一设置本地管理员密码 【全域策略生效】
目录 本地管理员密码 开始--管理工具--组策略管理 进入组策略界面 新建LocalAdminPassword域策略</
- 修改本地管理员密码脚本
通过域计算机开机脚本统一修改客户端本地管理员密码即可: strComputer = "." Set objUser = GetObject("WinNT://" ...
- ac管理器管理员密码忘记了_人们为什么不使用密码管理器
ac管理器管理员密码忘记了 Password managers generate secure, complex and unique passwords automatically for each ...
- Mac 本地管理员密码重置
1.重启电脑并按住command+R建 将mac关机后重启开机,按下电源键同时,立刻按住键盘command建+R建不要松手 选择实用工具 再选终端 输入命令resetpassword 弹到这个页面重新 ...
最新文章
- 用x86的模拟器内核记得安装intel的haxm
- 深度学习处在大爆炸时代的边缘
- 深入XP之认识的引导文件NTLDR
- Linux shell编程(四)流程控制
- Python爬虫(十二)_BeautifulSoup4 解析器
- sql中问号是干什么的??
- 去哪儿-12-city-search-logic
- 为什么开发者将迎来万亿美元黄金时代
- Spring Roo 之 Mysql 连接
- 领英宣布开源数据挖掘软件WhereHows
- java 认证 种类_java认证:JavaSocket编程的一个秘密类
- 详解浏览器事件捕获、冒泡
- 常见硬盘接口技术:从IDE、SCSI到SATA、SAS再到M.2、PCIe
- 基于PHP的聚合数据车辆违章查询接口调用代码示例
- 阿里云和腾讯云对比哪家好?云服务器哪个速度快?各有什么优势?
- ERROR: Invalid subnet : invalid CIDR address: 解决办法
- Python模块字典
- 【C++学习笔记】C++文件操作
- 【Webpack】999- 手把手教你写一个 loader / plugin
- 用python提取不同的两列数据对比_比较两列数据fram中的值