Home Žingsnis po žingsnio sukonfigūruokite „Windows LAPS“.

Žingsnis po žingsnio sukonfigūruokite „Windows LAPS“.

Viso gero, „Microsoft LAPS“ ir sveiki atvykę į „Windows LAPS“. „Windows LAPS“ pagaliau pasiekiama tiek debesyje, tiek vietinėje aplinkoje. Kiekvienas administratorius turėtų nustatyti Windows LAPS Active Directory, kad būtų lengviau valdyti prie domeno prijungto įrenginio vietinius slaptažodžius. Šiame straipsnyje sužinosite, kaip žingsnis po žingsnio įdiegti Windows LAPS.

Kas yra Windows LAPS?

„Windows“ vietinio administratoriaus slaptažodžio sprendimas („Windows LAPS“) yra „Windows“ funkcija, kuri automatiškai tvarko vietinio administratoriaus paskyros slaptažodį ir sukuria atsarginę kopiją jūsų įrenginiuose, kuriuose prisijungta prie „Microsoft Entra“ arba prie „Windows Server Active Directory“. Taip pat galite naudoti „Windows LAPS“, kad automatiškai valdytumėte ir sukurtumėte atsarginę katalogų paslaugų atkūrimo režimo (DSRM) paskyros slaptažodžio kopiją savo Windows Server Active Directory domeno valdikliuose. Įgaliotas administratorius gali gauti DSRM slaptažodį ir jį naudoti.

Galbūt jau esate susipažinę su esamu „Microsoft“ saugos produktu, žinomu kaip vietinio administratoriaus slaptažodžio sprendimas (LAPS). LAPS buvo galima rastiMicrosoft atsisiuntimo centrasdaugelį metų. Jis naudojamas nurodytos vietinio administratoriaus paskyros slaptažodžiui tvarkyti reguliariai keičiant slaptažodį ir sukuriant atsarginę jo kopiją „Active Directory“ (AD). LAPS pasirodė esąs esminis ir tvirtas elementas AD įmonės saugumui patalpose. Šį senesnį LAPS gaminį mielai vadinsime „Legacy LAPS“.

„Windows LAPS“ nereikalauja įdiegti senojo LAPS. Galite visiškai įdiegti ir naudoti visas „Windows LAPS“ funkcijas neįdiegę ir nesikreipdami į seną LAPS.

Pastaba:Funkcija paruošta naudoti iš dėžutės. Jums nebereikia diegti išorinio MSI paketo! „Microsoft“ pateiks būsimus pataisymus arba funkcijų naujinimus per įprastus „Windows“ pataisymo procesus.

Sužinokite daugiau:Kaip įdiegti ir konfigūruoti DNS „Windows Server“: nuoseklus vadovas

Windows LAPS privalumai

Naudokite Windows LAPS, kad reguliariai keistumėte ir tvarkytumėte vietinio administratoriaus paskyros slaptažodžius ir gautumėte šiuos privalumus:

  • Apsauga nuo perėjimo maišos ir šoninio perėjimo atakų
  • Patobulinta nuotolinės pagalbos tarnybos scenarijų sauga
  • Galimybė prisijungti ir atkurti įrenginius, kurie kitu atveju yra nepasiekiami
  • Tikslus saugos modelis (prieigos kontrolės sąrašai ir pasirenkamas slaptažodžių šifravimas), skirtas apsaugoti slaptažodžius, saugomus Windows Server Active Directory
  • „Entra“ vaidmenimis pagrįsto prieigos valdymo modelio palaikymas, skirtas apsaugoti slaptažodžius, saugomus „Microsoft Entra ID“.

Windows LAPS valdymas

Toliau pateikiamos parinktys, skirtos valdyti ir stebėti „Windows LAPS“.

  • „Windows Server Active Directory“ vartotojų ir kompiuterių ypatybių dialogo langas
  • Specialus įvykių žurnalo kanalas
  • „Windows PowerShell“ modulis, skirtas „Windows LAPS“.

Daugiau nėra skirto LAPS valdymo kliento (LAPS UI), kaip buvo pasenusioje Microsoft LAPS.

Windows LAPS reikalavimai

„Windows LAPS“ galima šiose OS platformose su nurodytu arba naujesniu įdiegtu naujinimu:

Pastaba:Norint naudoti „Windows LAPS“, nėra jokių licencijos reikalavimų, ji yra integruota į „Windows“ OS.

Ar norite sužinoti, kurios Windows OS versijos veikia organizacijoje? Skaitykite straipsnį „Windows“ OS versijos numerių eksportavimas.

Kaip sukonfigūruoti Windows LAPS

Norėdami sukonfigūruoti Windows LAPS Active Directory, atlikite toliau nurodytus veiksmus.

1. Atnaujinkite „Windows Server“.

Įsitikinkite, kad visuose domeno valdikliuose paleidžiate „Windows Update“. Jei atnaujinsite tik 1x domeno valdiklį ir pratęsite Active Directory schemą (kitas veiksmas), bus rodoma klaida.

2. Išplėskite Active Directory schemą

Nėra Windows LAPS kliento, kurį būtų galima atsisiųsti ir įdiegti domeno valdiklyje, kaip esame įpratę su Microsoft LAPS, nes jis jau integruotas į Windows Server 2019 ir naujesnę versiją.

1.Paleiskite „PowerShell“ kaip administratorių domeno valdiklyje.

2.Bėkipmo LAPSimportuoti LAPS modulį.

ipmo LAPS

3.Paleiskitegcm -Modulis LAPSkomanda, skirta patikrinti, ar LAPS modulis įkeltas.

Pastaba:Jei paleidus aukščiau nurodytą komandą nėra išvesties, turite atnaujinti „Windows Server“ į palaikomą versiją (žr. aukščiau).

gcm -Module LAPS

Pasirodo žemiau esanti išvestis.

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Function        Get-LapsAADPassword                                1.0.0.0    LAPS
Function        Get-LapsDiagnostics                                1.0.0.0    LAPS
Cmdlet          Find-LapsADExtendedRights                          1.0.0.0    LAPS
Cmdlet          Get-LapsADPassword                                 1.0.0.0    LAPS
Cmdlet          Invoke-LapsPolicyProcessing                        1.0.0.0    LAPS
Cmdlet          Reset-LapsPassword                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADAuditing                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADComputerSelfPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADPasswordExpirationTime                   1.0.0.0    LAPS
Cmdlet          Set-LapsADReadPasswordPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADResetPasswordPermission                  1.0.0.0    LAPS
Cmdlet          Update-LapsADSchema                                1.0.0.0    LAPS

4.PaleiskiteUpdate-LapsADSchemacmdlet.

Update-LapsAdSchema

5.PaspauskiteA, ir sekite suĮeikite.

The 'ms-LAPS-Password' schema attribute needs to be added to the AD schema.
Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

3. Patikrinkite LAPS atributus

Norėdami patikrinti, ar „LapsAdSchema“ sėkmingai veikia, paleiskiteUpdate-LapsAdSchemavėl su- Daugiakalbisparametras.

Update-LapsAdSchema -Verbose

Svarbu išvesties pabaiga, kuri rodo, kad LAPS schema jau sėkmingai išplėsta su atributais:

  • msLAPS-slaptažodžio galiojimo laikas
  • msLAPS slaptažodis
  • msLAPS-EncryptedPassword
  • msLAPS-EncryptedPasswordHistory
  • msLAPS-EncryptedDSRMPassword
  • msLAPS-EncryptedDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-PasswordExpirationTime
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-Password
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has all expected LAPS-related mayContains
VERBOSE:
VERBOSE: ProcessRecord completed
VERBOSE:
VERBOSE: EndProcessing started
VERBOSE: EndProcessing completed

Eikite į „Windows 10“ / „Windows 11“ AD objekto ypatybes ir pasirinkiteAtributasskirtuką.

Pastaba:Jei nematoteAtributų redaktoriusMeniu juostoje spustelėkite „Active Directory“ vartotojai ir kompiuteriaiŽiūrėtiir įjungtiIšplėstinės funkcijos.

Taip pat pamatysiteLAPSskirtuką ir galite jį spustelėti. Tačiau kol kas jis tuščias ir bus pateikta informacija, kai atliksite visus veiksmus.

Tvarkomam įrenginiui turi būti suteiktas leidimas atnaujinti slaptažodį. Šis veiksmas atliekamas nustatant paveldėtus leidimus organizaciniame vienete (OU), kuriame yra įrenginys. Nustatymas taip pat bus taikomas visoms įdėtoms OU.

Mūsų pavyzdyje norime nustatyti leidimusĮmonėARBA.

Nustatykite leidimusĮmonėOU suSet-LapsADComputerSelfPermissioncmdlet.

Pastaba:Ar turite kompiuterių kitose OU? Turite pakartoti toliau nurodytus veiksmus ir pridėti OU, prie kurių yra pridėti kompiuteriai.

Set-LapsADComputerSelfPermission -Identity "Company"

Tarkime, kad nepavyko, nes OU pavadinimas naudojamas kelis kartus „Active Directory“, tada nukopijuokite„OU DistinguishedName“.ir įdėkite tai į komandą.

Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"

5. Nustatykite LAPS GPO

Konfigūruokite LAPS GPO ir įgalinkite jo nustatymus.

1.Paleiskite grupės strategijos valdymą domeno valdiklyje.

2.Dešiniuoju pelės mygtuku spustelėkiteStaliniai kompiuteriaiARBA.

3.SpustelėkiteSukurkite GPO šiame domene ir susiekite jį čia.

Ar naujasis grupės strategijos objektas (GPO) yra vartotojo ar kompiuterio politika? Ar patalpinsite vartotojo ir kompiuterio politikos nustatymus į GPO? Jei tai aKompiuterių politika, rekomenduojame įdėti aC_prieš grupės strategijos pavadinimą. Jei tai yra vartotojo politika, padarykite tai aIN_. Ar norite pridėti kompiuterio ir vartotojo strategijos parametrus naujame grupės strategijos objekte? PavadinkWITH_.

  • Creiškia Computer Policy
  • INreiškia vartotojo politiką
  • SUreiškia Computer and User Policy

Mūsų pavyzdyje GPO yra kompiuterio politika, todėl pavadinimas prasidėsC_.

4.Suteikite politikos pavadinimą:C_LAPS.

5.Dešiniuoju pelės mygtuku spustelėkiteC_LAPSGPO ir spustelėkiteRedaguoti.

6.Eikite įKompiuterio konfigūracija>politika>Administravimo šablonai>Sistema>LAPS.

Pastaba:Jei turite centrinę parduotuvę, nematote LAPS aplanko skiltyje Administravimo šablonai. NukopijuokiteVAIKAS.admxfailą iš C: WindowsPolicyDefinitions irVAIKAS.admlfailą iš C:WindowsPolicyDefinitionsen-US į centrinę parduotuvę. Pavyzdžiui, \exoip.localSYSVOLexoip.localPolicies. Po to pamatysite LAPS aplanką.

7.Dukart spustelėkiteKonfigūruokite slaptažodžio atsarginės kopijos katalogąnustatymas.

8.PasirinkiteĮjungtair pasirinkite atsarginės kopijos katalogąActive Directory.

Svarbu:Jūs turiteĮJUNGTInustatymą ir pasirinkiteActive DirectoryarbaAzure Active Directory. Priešingu atveju vietinio administratoriaus slaptažodis nevaldomas ir neveiks.

9.Dukart spustelėkiteSlaptažodžio nustatymainustatymas.

10.PasirinkiteĮjungtair sukonfigūruotislaptažodžio sudėtingumas.

11.Dukart spustelėkiteTvarkytinos administratoriaus paskyros pavadinimasnustatymas.

12.PasirinkiteĮjungtair įveskite administratoriaus paskyros pavadinimąlapadmin.

13.Taip atrodo LAPS GPO būsena.

Jei ne tik domeno administratoriai skaitys ir iš naujo nustatys LAPS slaptažodį, taip pat turite sukonfigūruoti politikąKonfigūruokite įgaliotus slaptažodžių iššifruotojus. Priešingu atveju jie gaus klaidą, o LAPS reikšmės bus tuščios.

Daugiau skaitykite straipsnyje Kaip ištaisyti Windows LAPS paskyros slaptažodžio iššifravimo leidimo klaidą.

6. Sukurkite vietinio administratoriaus paskyrą

Ankstesniame veiksme įgalinomeTvarkytinos administratoriaus paskyros pavadinimasnustatymą ir nustatykiteadministratoriaus paskyros pavadinimas:lapadmin.

LAPS GPO nesukurs jūsų vietinio administratoriaus paskyros visuose įrenginiuose. Tuo turite pasirūpinti naudodami kitą GPO, „PowerShell“ scenarijų ar kitą pasirinkimą.

Svarbu:Išjunkite visas kitas vietinio administratoriaus paskyras ir įsitikinkite, kad tiklapadminpaskyra įjungta saugumo sumetimais.

Taip jis atrodys kompiuteryje.

Pastaba:Atlikę visus aukščiau nurodytus veiksmus, iš naujo paleiskite prie domeno prijungtą Windows kompiuterį, kad pakeitimai įsigaliotų.

Windows LAPS konfigūracija sėkmingai baigta.

Gaukite LAPS slaptažodį

Dabar pažiūrėkime, kaip gauti LAPS slaptažodį GUI ir PowerShell.

Gaukite LAPS slaptažodį naudodami GUI

Gaukite LAPS slaptažodį tiesiai iš „Active Directory“ vartotojų ir kompiuterio konsolės.

1.Pradėti„Active Directory“ vartotojai ir kompiuteriai.

2.Eikite į AD kompiuterio objektąsavybių.

3.Pasirinkite skirtukąLAPS.

Pamatysite, kad laukai dabar užpildyti ir nebėra tušti. Tai reiškia, kad „Active Directory“ prisijungė prie „Windows“ kompiuterio ir sinchronizavo informaciją.

4.SpustelėkiteRodyti slaptažodį.

Gaukite LAPS slaptažodį naudodami „PowerShell“.

Puikus būdas gauti LAPS slaptažodį ir informaciją yra PowerShell.

1.Paleiskite „PowerShell“ kaip administratorių

2.PaleiskiteGet-LapsADPasswordcmdlet ir užpildykitetikslinis kompiuteris, įskaitant- Apeliacinis tekstasparametras.

Get-LapsADPassword "WIN10" -AsPlainText

Pasirodo žemiau esanti išvestis.

ComputerName        : WIN10
DistinguishedName   : CN=WIN10,OU=Desktops,OU=Company,DC=exoip,DC=local
Account             : lapsadmin
Password            : .[lBkDWXy1&kg3
PasswordUpdateTime  : 4/17/2023 10:23:46 AM
ExpirationTimestamp : 5/17/2023 10:23:46 AM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : EXOIPDomain Admins

Prisijunkite naudodami LAPS slaptažodį

Visada patikrinkite, ar viskas veikia taip, kaip tikitės, ir patikrinkite LAPS vietinio administratoriaus paskyros slaptažodį.

Prisijunkite naudodami vietinio administratoriaus paskyrąlapadminirslaptažodiskuris pasirodo kompiuterio LAPS.

Esame sėkmingai prisijungę prie „Windows 10“ kompiuterio su vietinio administratoriaus slaptažodžiu, sugeneruotu iš „Active Directory“ (LAPS).

Iš naujo nustatykite „Windows LAPS“ slaptažodį

Kartais norite iš naujo nustatyti „Windows LAPS“ slaptažodį.

1.SpustelėkiteBaigiasi dabar.

2.Paleiskite GPO naujinimą „Windows“ kompiuteryje ir patikrinkite, ar LAPS vietinio administratoriaus paskyros slaptažodis nustatytas iš naujo.

3.Taip pat galite paleistiReset-LapsPasswordcmdlet „Windows“ kompiuteryje.

Reset-LapsPassword

4.Tai iš naujo nustatys dabartinį / naują slaptažodžio galiojimo laiką ir LAPS vietinio administratoriaus paskyros slaptažodį.

„Active Directory“ sėkmingai nustatėte „Windows LAPS“ ir patikrinote, ar viskas veikia.

Išvada

Sužinojote, kaip „Active Directory“ konfigūruoti „Windows LAPS“. „Windows“ vietinio administratoriaus slaptažodžio sprendimas yra puiki „Windows“ funkcija, skirta valdyti prie domeno prijungtų kompiuterių vietinio administratoriaus slaptažodžius. Sukonfigūruokite jį vieną kartą, o „Microsoft“ automatiškai atsiųs naujinimus per „Windows“ naujinimus.

Ar jums patiko šis straipsnis? Jums taip pat gali patikti „Microsoft Office“ valdymas naudojant grupės politiką. Nepamirškite sekti mūsų ir pasidalinti šiuo straipsniu.

Related Posts

VPN pigesniems skrydžiams: žingsnis po žingsnio „Smart“ rezervavimo vadovas

VPN pigesniems skrydžiams: žingsnis po žingsnio „Smart“ rezervavimo vadovas

2025-03-04
„Samsung Galaxy Tri-Fold“ ir riedlieji dizainai, nutekėję patentuose dokumentuose

„Samsung Galaxy Tri-Fold“ ir riedlieji dizainai, nutekėję patentuose dokumentuose

2024-10-24
Raudonos narcizo vėliavos

Raudonos narcizo vėliavos

2025-10-15
Kaip ištaisyti „TrustedInstaller“ leidimą “„ Windows “klaidoje

Kaip ištaisyti „TrustedInstaller“ leidimą “„ Windows “klaidoje

2025-03-30
Peržiūrėti sėkmę ir nepavyko vietinių prisijungimo bandymų „Windows“

Peržiūrėti sėkmę ir nepavyko vietinių prisijungimo bandymų „Windows“

2023-05-02
Su ZeroBounce ONE visi jūsų el. pašto pristatymo įrankiai dabar yra viena prenumerata

Su ZeroBounce ONE visi jūsų el. pašto pristatymo įrankiai dabar yra viena prenumerata

2025-11-28
Technikos naujienos

Technikos naujienos

2025-03-27
„UniFi Captive Portal“

„UniFi Captive Portal“

2025-01-14
Kaip legaliai gauti Windows 10 nemokamai

Kaip legaliai gauti Windows 10 nemokamai

2024-12-11
12 geriausių „Android“ veikiančių programų 2024 m.

12 geriausių „Android“ veikiančių programų 2024 m.

2024-11-07
„Microsoft PC Manager“

„Microsoft PC Manager“

2024-11-06
„cPanel Cloud Web Hosting“.

„cPanel Cloud Web Hosting“.

2025-03-08
„Cpasbien Torrent“ svetainė uždaryta

„Cpasbien Torrent“ svetainė uždaryta

2025-08-06
Dirbtinis intelektas

Dirbtinis intelektas

2025-02-20
„Ultimate“ žiniatinklio grandymo įrankių ir IP tarpinių serverių vadovas

„Ultimate“ žiniatinklio grandymo įrankių ir IP tarpinių serverių vadovas

2025-11-05