Po implementaci Windows LAPS mohou někteří správci vidět název a heslo účtu místního správce LAPS, zatímco jiní vidí obě pole prázdná. Proč se to děje a jaké je pro to řešení? V tomto článku se dozvíte, jak opravit chybu oprávnění dešifrovat heslo účtu Windows LAPS.
Podívejme se na chybu, která se objeví.
StartUživatelé a počítače služby Active Directorya přejděte do vlastností počítače, pro který chcete získat heslo LAPS. Klikněte naLAPStab.
Zobrazí se varování:
Heslo účtu je zašifrováno, ale nemáte oprávnění jej dešifrovat.
Pole název účtu místního správce LAPS a heslo účtu místního správce LAPS jsou obě prázdná. Chceme však vidět naplněná obě pole.
Proč se to děje a jak opravit varovnou zprávu Heslo účtu je zašifrováno, ale nemáte oprávnění jej dešifrovat?
Řešení pro systém Windows Chyba oprávnění k dešifrování hesla účtu LAPS
Pokud nakonfigurujete Windows LAPS a přihlásíte se pomocí účtu s oprávněními správce domény, toto varování se nezobrazí.
Upozornění se zobrazí, protože uživatelský účet přihlášený k získání názvu a hesla účtu místního správce LAPS není správcem domény. Například uživatelé z týmu technické podpory nemají přiřazena oprávnění správce domény.
Abychom toto varování opravili, musíme vytvořit bezpečnostní skupinu se všemi jejími členy. Dále nastavte oprávnění LAPS pro čtení a resetování pro tuto skupinu zabezpečení. Jako poslední přidejte skupinu do zásady Windows LAPS Authorized password decryptors.
Krok 1. Vytvořte skupinu zabezpečení
Vytvořte skupinu zabezpečení vUživatelé a počítače služby Active Directory.
Přidejte členy do skupiny. Přidejte také správce domény, protože tato skupina bude jedinou skupinou, která bude moci číst a resetovat heslo LAPS.
Krok 2. Získejte SID skupiny zabezpečení
Najděte SID skupiny zabezpečení pomocí PowerShellu.
Get-ADGroup "Windows_LAPS"Výstup se zobrazí s SID skupiny.
DistinguishedName : CN=Windows_LAPS,OU=AD,OU=Groups,OU=Company,DC=exoip,DC=local
GroupCategory : Security
GroupScope : Universal
Name : Windows_LAPS
ObjectClass : group
ObjectGUID : 05c3f8a0-4f46-4441-ab41-796538b45a82
SamAccountName : Windows_LAPS
SID : S-1-5-21-1083891243-2317051905-4228426097-3278Zkopírujte hodnotu SID skupiny zabezpečení, budete ji muset použít v dalších krocích.
Krok 3. Nastavte oprávnění LAPS
Nahraďte SID skupiny zabezpečení v obou příkazech a spusťte jej v prostředí PowerShell.
TheSet-LapsADReadPasswordPermissionrutina udělí skupině oprávnění k dotazování na hesla Windows Local Administrator Password Solution (LAPS).
Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")TheSet-LapsADResetPasswordPermissioncmdlet udělí skupině oprávnění k nastavení doby vypršení hesla řešení LAPS (Windows Local Administrator Password Solution).
Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")OTEVŘENOSpráva zásad skupiny.
Další informace:Jak najít heslo ZIP k dešifrování zašifrovaného souboru ZIP
Přejděte naKonfigurace počítače>Zásady>Šablony pro správu>Systém>LAPS.
Přidejte SID bezpečnostní skupiny do pole Authorized password decryptor.
V našem příkladu je to:
S-1-5-21-1083891243-2317051905-4228426097-3278
Krok 5. Ověřte svou práci
Důležité:Odhlaste se a znovu se přihlaste na Management Server nebo řadiči domény, aby se nastavení oprávnění projevilo.
StartUživatelé a počítače služby Active Directory. Přejděte do vlastností počítače a klikněte naLAPStab. Chyba se již nezobrazuje a zobrazí se název a heslo účtu místního správce LAPS.
To je vše!
Závěr
Naučili jste se, jak opravit, že heslo účtu je zašifrováno, ale nemáte oprávnění jej dešifrovat. Nejprve vytvořte skupinu zabezpečení a přidejte všechny uživatele, kteří by měli vidět a resetovat heslo LAPS. Poté nakonfigurujte zásadu skupiny LAPS Authorized password decryptor a přidejte do něj skupinu. Nezapomeňte se odhlásit a znovu přihlásit, aby se oprávnění projevila.
Líbil se vám tento článek? Také by se vám mohlo líbit How to Create a Active Directory Security Assessment report. Nezapomeňte nás sledovat a sdílet tento článek.
