Home Konfigurálja a Windows LAPS-t lépésről lépésre

Konfigurálja a Windows LAPS-t lépésről lépésre

Viszlát, Microsoft LAPS, és üdvözlöm a Windows LAPS-t. A Windows LAPS végre elérhető felhőben és helyszíni környezetben is. Minden rendszergazdának be kell állítania a Windows LAPS-t az Active Directoryban a tartományhoz csatlakoztatott eszköz helyi jelszavainak könnyebb kezelése érdekében. Ebből a cikkből lépésről lépésre megtudhatja, hogyan telepítheti a Windows LAPS-t.

Mi az a Windows LAPS?

A Windows Local Administrator Password Solution (Windows LAPS) egy Windows-szolgáltatás, amely automatikusan kezeli és biztonsági másolatot készít a helyi rendszergazdai fiók jelszaváról a Microsoft Entra-hoz vagy a Windows Server Active Directoryhoz csatlakozó eszközökön. A Windows LAPS segítségével automatikusan kezelheti és biztonsági másolatot készíthet a Directory Services Restore Mode (DSRM) fiók jelszaváról a Windows Server Active Directory tartományvezérlőkön. Egy felhatalmazott rendszergazda lekérheti a DSRM-jelszót, és felhasználhatja azt.

Lehet, hogy már ismeri a meglévő Microsoft biztonsági terméket, amely a Local Administrator Password Solution (LAPS) néven ismert. A LAPS elérhető volt aMicrosoft letöltőközpontsok éven át. Egy adott helyi rendszergazdai fiók jelszavának kezelésére szolgál a jelszó rendszeres forgatásával és az Active Directory (AD) biztonsági mentésével. A LAPS elengedhetetlen és robusztus építőelemnek bizonyult az AD vállalati telephelyi biztonsághoz. Ezt a régebbi LAPS-terméket szeretettel „Legacy LAPS” néven fogjuk emlegetni.

A Windows LAPS nem igényli a régi LAPS telepítését. Teljes mértékben üzembe helyezheti és használhatja a Windows LAPS összes szolgáltatását anélkül, hogy telepítene vagy hivatkozna a régi LAPS-re.

Jegyzet:A funkció készen áll a kiszállításra. Többé nem kell külső MSI-csomagot telepítenie! A Microsoft a jövőbeni javításokat vagy szolgáltatásfrissítéseket a normál Windows javítási folyamatokon keresztül szállítja.

A Windows LAPS előnyei

A Windows LAPS használatával rendszeresen változtathatja és kezelheti a helyi rendszergazdai fiók jelszavait, és élvezheti az alábbi előnyöket:

  • Védelem a hash- és oldalirányú behatolásos támadások ellen
  • Továbbfejlesztett biztonság a távoli ügyfélszolgálati forgatókönyvekhez
  • Képes bejelentkezni és helyreállítani az egyébként elérhetetlen eszközöket
  • Kifinomult biztonsági modell (hozzáférési listák és opcionális jelszótitkosítás) a Windows Server Active Directoryban tárolt jelszavak védelmére
  • Az Entra szerepkör alapú hozzáférés-vezérlési modell támogatása a Microsoft Entra ID-ben tárolt jelszavak védelmére

Windows LAPS kezelés

Az alábbi lehetőségek állnak rendelkezésre a Windows LAPS kezeléséhez és figyeléséhez:

  • A Windows Server Active Directory felhasználói és számítógépek tulajdonságai párbeszédpanel
  • Dedikált eseménynapló-csatorna
  • Egy Windows PowerShell-modul, amely kifejezetten a Windows LAPS-re vonatkozik

Nem létezik több dedikált LAPS Management kliens (LAPS UI), mint a régi Microsoft LAPS-ben.

Windows LAPS követelmények

A Windows LAPS a következő operációs rendszereken érhető el a megadott vagy újabb frissítéssel:

Jegyzet:A Windows LAPS használatához nincsenek licenckövetelmények, és integrálva van a Windows operációs rendszerbe.

Lásd még:A Windows LAPS jelszavak jelentés exportálása

Szeretné tudni, hogy mely Windows OS Build-ek futnak a szervezetben? Olvassa el a Windows operációs rendszer buildszámainak exportálása című cikket.

A Windows LAPS konfigurálásához az Active Directoryban kövesse az alábbi lépéseket:

1. Frissítse a Windows Servert

Győződjön meg arról, hogy minden tartományvezérlőn futtatja a Windows Update szolgáltatást. Ha csak 1x tartományvezérlőt frissít, és kiterjeszti az Active Directory sémát (a következő lépésben), akkor hibaüzenetet fog kiadni.

2. Az Active Directory séma kiterjesztése

Nincs letölthető és telepíthető Windows LAPS kliens a Domain Controllerre, ahogy azt a Microsoft LAPS esetében megszoktuk, mert az már integrálva van a Windows Server 2019 és újabb verzióiba.

1.Futtassa a PowerShellt rendszergazdaként a tartományvezérlőn.

2.Futipmo LAPSa LAPS modul importálásához.

ipmo LAPS

3.Futtassa agcm - LAPS modulparancsot a LAPS modul betöltésének ellenőrzésére.

Jegyzet:Ha a fenti parancs futtatása után nincs kimenet, frissítenie kell a Windows Servert a támogatott verzióra (lásd fent).

gcm -Module LAPS

Az alábbi kimenet jelenik meg.

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Function        Get-LapsAADPassword                                1.0.0.0    LAPS
Function        Get-LapsDiagnostics                                1.0.0.0    LAPS
Cmdlet          Find-LapsADExtendedRights                          1.0.0.0    LAPS
Cmdlet          Get-LapsADPassword                                 1.0.0.0    LAPS
Cmdlet          Invoke-LapsPolicyProcessing                        1.0.0.0    LAPS
Cmdlet          Reset-LapsPassword                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADAuditing                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADComputerSelfPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADPasswordExpirationTime                   1.0.0.0    LAPS
Cmdlet          Set-LapsADReadPasswordPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADResetPasswordPermission                  1.0.0.0    LAPS
Cmdlet          Update-LapsADSchema                                1.0.0.0    LAPS

4.Futtassa aUpdate-LapsADSchemacmdlet.

Update-LapsAdSchema

5.SajtóA, és kövesse aEnter.

The 'ms-LAPS-Password' schema attribute needs to be added to the AD schema.
Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

3. Ellenőrizze a LAPS attribútumokat

Annak ellenőrzéséhez, hogy a LapsAdSchema sikeresen futott-e, futtassa aUpdate-LapsAdSchemaismét a-Bőbeszédűparaméter.

Update-LapsAdSchema -Verbose

A kimenet vége fontos, ami azt mutatja, hogy a LAPS séma már sikeresen ki lett bővítve az attribútumokkal:

  • msLAPS-PasswordExpirationTime
  • msLAPS-jelszó
  • msLAPS-EncryptedPassword
  • msLAPS-EncryptedPasswordHistory
  • msLAPS-EncryptedDSRMPassword
  • msLAPS-EncryptedDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-PasswordExpirationTime
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-Password
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has all expected LAPS-related mayContains
VERBOSE:
VERBOSE: ProcessRecord completed
VERBOSE:
VERBOSE: EndProcessing started
VERBOSE: EndProcessing completed

Nyissa meg a Windows 10/Windows 11 AD objektum tulajdonságait, és válassza ki aAttribútumlapon.

Jegyzet:Ha nem látja aAttribútumszerkesztőlapon kattintson az Active Directory-felhasználók és számítógépek elemre a menüsorbanKilátásés engedélyezzeSpeciális funkciók.

Azt is látni fogja aLAPSfület, és rákattinthat. De egyelőre üres, és az összes lépés végrehajtása után feltölti az információkat.

A felügyelt eszköznek engedélyt kell adni a jelszó frissítéséhez. Ezt a műveletet úgy hajtják végre, hogy örökölhető engedélyeket állítanak be azon szervezeti egységen (OU), amelyben az eszköz található. A beállítás az összes beágyazott szervezeti egységre is vonatkozik.

Példánkban engedélyeket szeretnénk beállítani aVállalatVAGY.

Állítsa be az engedélyeket aVállalatOU aSet-LapsADComputerSelfPermissioncmdlet.

Jegyzet:Vannak számítógépei más szervezeti egységekben? Az alábbiakat meg kell ismételnie, és hozzá kell adnia azokat a szervezeti egységeket, amelyekhez számítógépek vannak hozzáadva.

Set-LapsADComputerSelfPermission -Identity "Company"

Tegyük fel, hogy meghiúsul, mert a szervezeti egység neve többször használatos az Active Directoryban, majd másolja ki aOU DistinguishedNameés tedd a parancsba.

Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"

5. Állítsa be a LAPS GPO-t

Konfiguráljon egy csoportházirend-objektumot a LAPS-hez, és engedélyezze a beállításait.

1.Indítsa el a Csoportházirend-kezelést a tartományvezérlőn.

2.Kattintson jobb gombbal aAsztali számítógépekVAGY.

3.KattintsonHozzon létre egy csoportházirend-objektumot ebben a tartományban, és csatolja ide.

Az új csoportházirend-objektum (GPO) felhasználói vagy számítógépes házirend? Vagy a felhasználói és számítógépes házirend-beállításokat helyezi el a csoportházirend-objektumban? Ha ez aSzámítógépes szabályzat, javasoljuk elhelyezni aC_a csoportházirend neve előtt. Ha ez egy felhasználói szabályzat, tegye aIN_. Hozzá szeretne adni számítógép- és felhasználói házirend-beállításokat egy új csoportházirend-objektumhoz? Nevezd elVEL_.

  • Ca Computer Policy rövidítése
  • INa Felhasználói szabályzat rövidítése
  • VELa Computer and User Policy rövidítése

Példánkban a csoportházirend-objektum egy számítógépes szabályzat, így a név így kezdődikC_.

4.Adja meg a szabályzat nevét:C_LAPS.

5.Kattintson jobb gombbal aC_LAPSGPO és kattintsonSzerkesztés.

6.Navigáljon ideSzámítógép konfigurációja>Irányelvek>Adminisztrációs sablonok>Rendszer>LAPS.

Jegyzet:Ha van központi áruháza, akkor nem látja a LAPS mappát a Felügyeleti sablonok alatt. Másolja aGYERMEK.admxfájlt a C:WindowsPolicyDefinitions ésGYERMEK.admlfájlt a C:WindowsPolicyDefinitionsen-US-ból a központi áruházba. Például \exoip.localSYSVOLexoip.localPolicies. Ezt követően látni fogja a LAPS mappát.

7.Kattintson duplánÁllítsa be a jelszó biztonsági mentési könyvtárátbeállítás.

8.Válassza kiEngedélyezveés válassza ki a biztonsági mentési könyvtáratActive Directory.

Fontos:muszájENGEDÉLYEZÉSa beállítást és válassza kiActive DirectoryvagyAzure Active Directory. Ellenkező esetben a helyi rendszergazdai jelszó nem kezelhető, és nem fog működni.

9.Kattintson duplánJelszó beállításokbeállítás.

10.Válassza kiEngedélyezveés konfigurálja ajelszó összetettsége.

11.Kattintson duplánA kezelendő rendszergazdai fiók nevebeállítás.

12.Válassza kiEngedélyezveés írja be a rendszergazdai fiók nevétlapadmin.

13.Így néz ki a LAPS GPO állapota.

Ha nem csak a tartományadminisztrátorok fogják elolvasni és visszaállítani a LAPS jelszavát, akkor a házirendet is konfigurálnia kellKonfigurálja az engedélyezett jelszó-visszafejtőket. Ellenkező esetben hibaüzenetet kapnak, és a LAPS értékek üresek lesznek.

További információ a Windows LAPS-fiók jelszavának visszafejtésére vonatkozó engedélyhiba javítása című cikkben.

6. Hozzon létre helyi rendszergazdai fiókot

Az előző lépésben engedélyeztük aA kezelendő rendszergazdai fiók nevebeállítását és állítsa be arendszergazdai fiók neve:lapadmin.

A LAPS GPO nem hozza létre a helyi rendszergazdai fiókot minden gépen. Erre egy másik csoportházirend-objektum, PowerShell-szkript vagy más választás esetén gondoskodnia kell.

Fontos:Tiltsa le az összes többi helyi rendszergazdai fiókot, és győződjön meg arról, hogy csak alapadminfiók biztonsági okokból engedélyezve van.

Így fog kinézni számítógépen.

Jegyzet:A fenti lépések végrehajtása után indítsa újra a tartományhoz csatlakozó Windows-számítógépet, hogy a változtatások érvénybe lépjenek.

A Windows LAPS konfigurációja sikeresen befejeződött.

Szerezzen LAPS jelszót

Most nézzük meg, hogyan lehet lekérni a LAPS jelszót a GUI-ban és a PowerShellben.

Szerezzen LAPS jelszót GUI-val

Szerezze meg a LAPS jelszót közvetlenül az Active Directory felhasználói és számítógépes konzoljáról.

1.IndulActive Directory felhasználók és számítógépek.

2.Lépjen az AD számítógép objektumratulajdonságait.

3.Válassza ki a lapotLAPS.

Látni fogja, hogy a mezők kitöltve, és már nem üresek. Ez azt jelenti, hogy az Active Directory csatlakozott a Windows számítógéphez, és szinkronizálta az információkat.

4.Kattintson ráJelszó megjelenítése.

Szerezzen LAPS jelszót a PowerShell segítségével

A LAPS jelszó és információk beszerzésének kiváló módja a PowerShell.

1.Futtassa a PowerShellt rendszergazdaként

2.Futtassa aGet-LapsADPasswordcmdlet-et, és töltse ki acélszámítógép, beleértve a-Asplainttextparaméter.

Get-LapsADPassword "WIN10" -AsPlainText

Az alábbi kimenet jelenik meg.

ComputerName        : WIN10
DistinguishedName   : CN=WIN10,OU=Desktops,OU=Company,DC=exoip,DC=local
Account             : lapsadmin
Password            : .[lBkDWXy1&kg3
PasswordUpdateTime  : 4/17/2023 10:23:46 AM
ExpirationTimestamp : 5/17/2023 10:23:46 AM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : EXOIPDomain Admins

Jelentkezzen be LAPS jelszóval

Mindig tesztelje, hogy minden a várt módon működik-e, és tesztelje a LAPS helyi adminisztrátori fiók jelszavát.

Jelentkezzen be a helyi rendszergazdai fiókkallapadminés ajelszóamely a számítógép LAPS-jében jelenik meg.

Sikeresen bejelentkeztünk a Windows 10 számítógépre az Active Directoryból (LAPS) előállított helyi rendszergazdai jelszóval.

Állítsa vissza a Windows LAPS jelszavát

Vannak esetek, amikor vissza szeretné állítani a Windows LAPS jelszavát.

1.Kattintson ráLejár most.

2.Futtasson egy GPO-frissítést a Windows rendszerű számítógépen, és ellenőrizze, hogy a LAPS helyi rendszergazdai fiók jelszava alaphelyzetbe van-e állítva.

3.Ön is futtathatja aReset-LapsPasswordcmdlet a Windows számítógépen.

Reset-LapsPassword

4.Ez visszaállítja a jelenlegi/új jelszó lejárati dátumát és a LAPS helyi rendszergazdai fiók jelszavát.

Sikeresen beállította a Windows LAPS-t az Active Directoryban, és tesztelte, hogy minden működik.

Következtetés

Megtanulta, hogyan konfigurálhatja a Windows LAPS-t az Active Directoryban. A Windows Local Administrator Password Solution egy kiváló Windows-szolgáltatás a tartományhoz csatlakozó számítógépek helyi rendszergazdai jelszavainak kezelésére. Konfigurálja egyszer, és a Microsoft automatikusan kiküldi a frissítéseket a Windows frissítéseken keresztül.

Tetszett ez a cikk? A Microsoft Office kezelése csoportházirenddel is tetszhet. Ne felejtsen el követni minket és megosztani ezt a cikket.

Related Posts

Hogyan lehet megváltoztatni a helyet az Instagram

Hogyan lehet megváltoztatni a helyet az Instagram

2024-02-28
A „Windows még mindig beállítja az osztálykonfiguráció beállítása” hibát (56. kód)

A „Windows még mindig beállítja az osztálykonfiguráció beállítása” hibát (56. kód)

2025-04-03
Hogyan lehet visszaállítani az iPhone

Hogyan lehet visszaállítani az iPhone

2025-04-30
Hogyan lehet megváltoztatni a MAC TrackPad görgetési irányát a Windows 11 kettős rendszerindításban

Hogyan lehet megváltoztatni a MAC TrackPad görgetési irányát a Windows 11 kettős rendszerindításban

2025-04-11
Hogyan lehet optimalizálni a tárolást a Mac

Hogyan lehet optimalizálni a tárolást a Mac

2024-10-19
A végső útmutató a webkaparó eszközökhöz és az IP

A végső útmutató a webkaparó eszközökhöz és az IP

2025-10-03
IT-menedzsment szolgáltatások minden méretű vállalkozás számára

IT-menedzsment szolgáltatások minden méretű vállalkozás számára

2025-04-17
Egérlekérdezési arány-ellenőrző

Egérlekérdezési arány-ellenőrző

2024-11-21
Hogyan lehet eltávolítani a Google WebView

Hogyan lehet eltávolítani a Google WebView

2025-04-26
Host TPM tanúsítási riasztás a VMware vSphere

Host TPM tanúsítási riasztás a VMware vSphere

2025-03-25
Hogyan lehet váltani a felhasználói fiókokat a Windows 11

Hogyan lehet váltani a felhasználói fiókokat a Windows 11

2023-12-05
Hogyan lehet visszaállítani a felület elfelejtett jelszavát a Windows 8.1

Hogyan lehet visszaállítani a felület elfelejtett jelszavát a Windows 8.1

2025-04-30
.eml fájl megnyitása

.eml fájl megnyitása

2025-01-20
A Logitech G920, G923, G29 nem működő kormánykerék javítása

A Logitech G920, G923, G29 nem működő kormánykerék javítása

2024-05-26
Hogyan lehet megtalálni és telepíteni az ismeretlen eszközök illesztőprogramjait a Windows 11

Hogyan lehet megtalálni és telepíteni az ismeretlen eszközök illesztőprogramjait a Windows 11

2025-04-02