Windows LAPS 是一项 Windows 功能,旨在自动管理和备份已加入 Microsoft Entra ID 或 Windows Server Active Directory (AD) 的设备上的本地管理员账户密码。此外,它还支持管理 Windows Server Active Directory 域控制器的目录服务还原模式 (DSRM) 帐户密码。授权管理员可以安全地检索这些密码,以用于恢复和管理操作。
Windows LAPS 的主要优势
通过 Windows LAPS,可以实现本地管理员账户密码的自动轮换和集中化管理,从而获得以下关键安全和管理优势:
- 防御攻击: 有效防范传递哈希和横向遍历攻击。
- 提升安全性: 提高远程帮助台支持场景下的安全性。
- 设备恢复: 在设备无法访问时,支持通过本地管理员账户登录和恢复。
- 精细化安全控制: • 使用访问控制列表 (ACL) 和可选密码加密机制,保护存储在 Windows Server Active Directory 中的密码。 • 支持基于 Microsoft Entra ID 角色的访问控制模型,确保对存储在云中的密码的保护。
- 兼容性支持: 提供与旧版 Microsoft LAPS 的兼容性,便于迁移和升级。
Windows LAPS 的关键使用场景
您可以在以下场景中部署和使用 Windows LAPS:
1. 备份到 Microsoft Entra ID
适用于加入 Microsoft Entra ID 的设备,自动备份和管理本地管理员账户密码,并应用基于 Entra 的访问控制。
2. 备份到 Windows Server Active Directory
适用于已加入 Windows Server Active Directory 的客户端和服务器,集中备份和管理本地管理员账户密码。
3. DSRM 帐户密码管理
为 Windows Server Active Directory 域控制器提供目录服务还原模式 (DSRM) 帐户密码的自动备份和集中管理。
4. 兼容旧版 Microsoft LAPS
延续对旧版 Microsoft LAPS 的支持,允许将本地管理员账户密码备份到 Windows Server Active Directory,满足现有环境需求。
策略设置与灵活性
针对每种场景,Windows LAPS 提供灵活的策略设置,允许管理员根据组织需求配置以下内容:
- 密码的轮换频率
- 密码的存储位置(本地或云)
- 密码加密选项
- 权限管理和访问控制
Windows LAPS 架构图
Windows LAPS 部署
更新 Windows Server Active Directory 架构
在使用 Windows LAPS 之前,必须更新 Windows Server Active Directory 架构。此操作通过使用Update-LapsADSchema 执行。
Update-LapsADSchema
该命令将询问您是否要扩展 AD 架构,键入“A”以添加所需的所有架构扩展。
向 OU 对象授予 LAPS 权限。运行以下命令,为管理的 OU 授权密码存储权限:
Set-LapsADComputerSelfPermission -Identity "OU=LAPS-OU,DC=contoso,DC=intra"
验证权限,检查 LAPS 对象属性是否正确配置:
Get-ACL -Path "AD:OU=LAPS-OU,DC=contoso,DC=intra"
组策略配置
打开组策略管理工具(GPMC)进入 域控制器 > 组策略管理控制台 > 新建组策略
创建或编辑组策略对象,导航到 计算机配置 > 管理模板 > 系统 > LAPS。
配置以下策略:
- 启用 配置密码备份目录
通过此组策略设置,您可以确定密码是否存储在 Active Directory 或 Azure Active Directory(Entra ID)中。
- 启用 密码设置
此策略设置确定密码复杂性、密码长度和密码有效期(天)。
- 启用 为DSRM账户启用密码备份
此设置允许将 DSRM 管理员帐户备份到 Active Directory。必须启用密码加密才能应用此设置。
配置加密密码历史记录的大小(可选策略)
使用此设置可配置将在Active Directory 中存储多少个以前的加密的密码
加密托管(可选策略)
启用此设置时,将加密托管密码,然后再将其发送到Active Directory。
配置授权密码解密器(可选策略)
配置此设置以控制有权解密加密密码的特定用户或组
要管理的管理员账户名称(可选策略)
此策略设置指定用于管理其密码的自定义管理员账户名。
配置自动账户管理(可选策略)
此策略配置自动账户管理策略选项。
不允许密码过期时间长于策略要求的时间(可选策略)
如果启用或未配置此设置,则不允许使用超过“密码设置”策略规定密码期限的计划密码过期时间。检测到此类过期设置时,将立即更改密码,并根据策略设置密码过期时间。
身份验证后操作
此策略配置身份验证后操作,这些操作将在托管帐户检测到身份验证后执行。
应用组策略
- 将目标计算机移动到LAPS-OU中。
客户端设置
强制刷新组策略,使用以下命令立即应用策略:
gpupdate /force
LAPS运维
通过AD工具进行检索
在AD中,打开对应计算机属性 > LAPS > 查看密码
使用PowerShell查看密码
Get-LapsADPassword -Identity ws2025-03 -AsPlainText
LAPS密码重置
可以使用Reset-LapsPassword在本地强制立即轮换密码。
此文章为原创文章,作者:胖哥叨逼叨,如若转载,请与我联系并注明出处:https://www.pangshare.com/3505.htm