实现 Windows LAPS

打印友好, PDF & Email

井, 今天我们带来了一个经典的, 一个我们从未在博客中讨论过的伟大工具, 所以,以防有人不认识她, 我们将实施 Windows LAPS (本地管理员密码解决方案) 在我们的组织中. 正如它的名字所暗示的那样, 帮助我们管理职位上的本地管理员帐户, 我们组织的成员服务器,甚至 DSRM 密码.

也许你们中的许多人都知道它,或者在那个时代已经安装了它, 事实是,集中管理所有这些本地管理员帐户非常有用, PC 或成员服务器. Microsoft 已经将其集成到自己的操作系统中已有一段时间了, 因此,您不必单独安装任何东西. 这就是这篇文章的内容, 如何启用新的 Windows LAPS.

准备工作, 让我们花点时间思考一下, 这一切都很好, 但… 如果我们的 AD 出现故障会发生什么情况?? 和, 如果还有另一个 CrowdStrike 时刻? 好吧,我们可能无法使用任何机器, 也不会使用本地帐户,因为我们不会知道它们, 所以想想看, 可能会让一些设备不受管理, 等…

如果您的 Windows 是最新的, 他们可能已经安装了“April patch” 2023 累积更新’ (https://support.microsoft.com/help/5025221). 支持 Windows Server 2019 和 2022 使用 11 四月 2023 以及 窗户 10 和 11 版本 21H2 和 22H2 的 11 四月 2023.

正如我们所提到的, 它还将用于管理目录服务还原模式的密码 (DSRM o 目录服务还原模式). 要加密此密码,我们需要在 2016 至少. 如果我们的 DC 是 2019 或 2022 我们将能够使用 Windows LAPS 的所有功能, 如果我们的 DC 是 2016 我们将能够加密密码, DSRM 除外.

启用 Windows LAPS 的步骤, 第一步是扩展我们的 Active Directory 方案, 我们从具有 Schema Master 权限的 PowerShell 运行:

Update-LapsADSchema -verbose

我们需要在包含要管理的计算机帐户的 OU 上启用 Windows LAPS, 运行:

Set-LAPSADComputerSelfPermission – 身份 "OU=...,OU=...."

最后,我们将创建一个 GPO,我们将在其中应用我们感兴趣的 Windows LAPS 设置, 因为 “设备设置” > “政策” > “管理模板” > “系统” > “圈” 我们将有几种选择. 此 GPO 必须应用于我们要管理的团队帐户.

这 “密码设置” 我们必须启用它并表明我们想要的复杂性, 以及我们想要的密码的长度或年龄.

在指令 “配置备份目录” 我们将 Backup Directory 指示为 “活动目录” 在其中管理和存储计算机密码.

使用密码后, 我们有一个 GPO,如果我们有兴趣,可以执行一些操作, 它被称为 “身份验证后操作”,

如果我们启用 “启用密码加密” 我们的密码将以加密形式传输到 Active Directory 进行存储, 我们需要功能层面的掌握 2016.

如果您有兴趣管理目录服务还原模式的密码 (DSRM o 目录服务还原模式) 我们将能够启用它, 并且必须将 GPO 应用于域控制器.

默认情况下,无需指定要管理的账户的名称, 因为 Windows LAPS 将按帐户 SID 确定它, 如果我们有一个想要管理的特定用户, 然后我们会指示它.

我们也可以 “不允许密码过期时间超过策略要求的时间”.

如果我们想授予 Active Directory 中特定组读取密码的权限,我们将使用:

Set-LapsADReadPasswordPermission -身份 "OU=...,OU=...." -允许的 Principals "MYDOMAIN组名称"

如果我们要授予重置 Active Directory 中特定组密码的权限, 我们将与:

Set-LapsADResetPasswordPermission -身份 "OU=...,OU=...." -允许的 Principals "MYDOMAIN组名称"
Set-LapsADResetPasswordPermission -身份 "OU=...,OU=...." -允许的 Principals@("MYDOMAIN组名称 1", "MYDOMAIN组名称 2")

如果我们想查看应用于 OU 的权限, 我们可以通过这个命令看到它:

Find-LapsADExetendedRights -身份 "OU=...,OU=...." |佛罗里达州

哦,好吧, 查看 LAPS 管理的帐户的密码, 就像打开 Active Directory 用户和 Teams 控制台一样简单, 找到我们想要的团队的账户, 我们将看到它有一个选项卡 “圈” 它将告诉我们密码何时过期, 如果我们想强迫它现在改变, 以及 Managed Administrator 用户是谁, 或者,如果我们想查看或复制密码.

我们还可以看到远程机器的 PowerShell 密码:

Get-LapsADPassword -身份NOMBRE_MAQUINA -AsPlainText

以及强制重置我们要重置的本地计算机的密码:

重置 LapsPassword

或重置远程计算机的密码:

调用命令 -ComputerName NOMBRE_MAQUINA -ScriptBlock {重置 LapsPassword}

井, 我希望这种类型的文档可以帮助您以更有效的方式管理您的时间和您的组织, 采取想法来保护环境,让我们的生活🙂更轻松所以,我说再见, 一如既往,我给你一个拥抱!

推荐文章

使用 Password Pusher 共享密钥
SmartCard 登录到 Active Directory
实施 FSSO 以将 Fortigate 与 Active Directory 集成
使用 Citrix NetScaler III 的 VPN - 使用证书进行身份验证

作者

赫克托·埃雷罗 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, 请随时与我联系, 我会尽我所能帮助你, 分享就是生活 ;) . 享受文档!!!

阻止访问我们的 VMware ESXi 和 vCSA 主机

1 十月 2024

审核对可移动存储设备的访问

8 十月 2024