Home Skonfiguruj Windows LAPS krok po kroku

Skonfiguruj Windows LAPS krok po kroku

Żegnaj, Microsoft LAPS i witaj w Windows LAPS. Windows LAPS jest wreszcie dostępny zarówno dla środowisk chmurowych, jak i lokalnych. Każdy administrator powinien skonfigurować Windows LAPS w Active Directory, aby ułatwić zarządzanie lokalnymi hasłami urządzenia przyłączonego do domeny. W tym artykule dowiesz się jak krok po kroku zainstalować Windows LAPS.

Co to jest LAPS w systemie Windows?

Rozwiązanie dotyczące hasła lokalnego administratora systemu Windows (Windows LAPS) to funkcja systemu Windows, która automatycznie zarządza hasłami konta administratora lokalnego na urządzeniach przyłączonych do Microsoft Entra lub Windows Server Active Directory i tworzy ich kopię zapasową. Można także używać systemu Windows LAPS do automatycznego zarządzania hasłami do konta trybu przywracania usług katalogowych (DSRM) i tworzenia ich kopii zapasowych na kontrolerach domeny Active Directory z systemem Windows Server. Autoryzowany administrator może odzyskać hasło DSRM i używać go.

Być może znasz już istniejący produkt zabezpieczający firmy Microsoft, znany jako rozwiązanie dotyczące hasła lokalnego administratora (LAPS). LAPS jest dostępny naCentrum pobierania Microsoftuprzez wiele lat. Służy do zarządzania hasłem określonego konta administratora lokalnego poprzez regularne zmienianie hasła i tworzenie jego kopii zapasowej w usłudze Active Directory (AD). LAPS okazał się niezbędnym i solidnym elementem zapewniającym lokalne bezpieczeństwo przedsiębiorstwa AD. Będziemy czule nazywać ten starszy produkt LAPS „Legacy LAPS”.

Windows LAPS nie wymaga instalowania starszego oprogramowania LAPS. Możesz w pełni wdrożyć i używać wszystkich funkcji Windows LAPS bez instalowania lub odwoływania się do starszych wersji LAPS.

Notatka:Ta funkcja jest gotowa do użycia po wyjęciu z pudełka. Nie musisz już instalować zewnętrznego pakietu MSI! Firma Microsoft będzie dostarczać przyszłe poprawki lub aktualizacje funkcji w ramach normalnych procesów łatania systemu Windows.

Korzyści z Windows LAPS

Korzystaj z systemu Windows LAPS, aby regularnie zmieniać hasła do kont administratora lokalnego i zarządzać nimi, a także uzyskaj następujące korzyści:

  • Ochrona przed atakami typu pass-the-hash i later-traversal
  • Ulepszone bezpieczeństwo scenariuszy zdalnej pomocy technicznej
  • Możliwość logowania się i odzyskiwania urządzeń, które w innym przypadku byłyby niedostępne
  • Szczegółowy model zabezpieczeń (listy kontroli dostępu i opcjonalne szyfrowanie haseł) do zabezpieczania haseł przechowywanych w usłudze Active Directory systemu Windows Server
  • Obsługa modelu kontroli dostępu opartego na rolach Entra w celu zabezpieczania haseł przechowywanych w Microsoft Entra ID

Zarządzanie LAPS-ami w systemie Windows

Poniższe opcje są dostępne do zarządzania i monitorowania Windows LAPS:

  • Okno dialogowe właściwości Użytkownicy i komputery usługi Active Directory systemu Windows Server
  • Dedykowany kanał dziennika zdarzeń
  • Moduł programu Windows PowerShell specyficzny dla systemu Windows LAPS

Nie istnieje już dedykowany klient LAPS Management (LAPS UI), jaki mieliśmy w Legacy Microsoft LAPS.

Wymagania systemu Windows LAPS

Windows LAPS jest dostępny na następujących platformach operacyjnych z zainstalowaną określoną aktualizacją lub nowszą:

Notatka:Korzystanie z systemu Windows LAPS nie wymaga żadnych licencji i jest ono zintegrowane z systemem operacyjnym Windows.

Zobacz także:Eksportuj raport haseł Windows LAPS

Czy chcesz dowiedzieć się, które kompilacje systemu operacyjnego Windows działają w organizacji? Przeczytaj artykuł Eksportuj numery kompilacji systemu operacyjnego Windows.

Jak skonfigurować LAPS w systemie Windows

Aby skonfigurować Windows LAPS w Active Directory, wykonaj poniższe kroki:

1. Zaktualizuj serwer Windows

Upewnij się, że uruchamiasz usługę Windows Update na wszystkich kontrolerach domeny. Jeśli zaktualizujesz tylko 1x kontroler domeny i rozszerzysz schemat Active Directory (następny krok), wyświetli się błąd.

2. Rozszerz schemat Active Directory

Nie ma klienta Windows LAPS do pobrania i zainstalowania na kontrolerze domeny, do czego jesteśmy przyzwyczajeni w przypadku Microsoft LAPS, ponieważ jest on już zintegrowany z systemem Windows Server 2019 i nowszymi wersjami.

1.Uruchom PowerShell jako administrator na kontrolerze domeny.

2.Uruchomićipmo LAPS, aby zaimportować moduł LAPS.

ipmo LAPS

3.Uruchomgcm – Moduł LAPSpolecenie sprawdzające, czy moduł LAPS jest załadowany.

Notatka:Jeśli po uruchomieniu powyższego polecenia nie ma żadnych danych wyjściowych, musisz zaktualizować system Windows Server do obsługiwanej wersji (patrz wyżej).

gcm -Module LAPS

Pojawi się poniższy wynik.

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Function        Get-LapsAADPassword                                1.0.0.0    LAPS
Function        Get-LapsDiagnostics                                1.0.0.0    LAPS
Cmdlet          Find-LapsADExtendedRights                          1.0.0.0    LAPS
Cmdlet          Get-LapsADPassword                                 1.0.0.0    LAPS
Cmdlet          Invoke-LapsPolicyProcessing                        1.0.0.0    LAPS
Cmdlet          Reset-LapsPassword                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADAuditing                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADComputerSelfPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADPasswordExpirationTime                   1.0.0.0    LAPS
Cmdlet          Set-LapsADReadPasswordPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADResetPasswordPermission                  1.0.0.0    LAPS
Cmdlet          Update-LapsADSchema                                1.0.0.0    LAPS

4.UruchomAktualizacja-LapsADSchemapolecenie cmdlet.

Update-LapsAdSchema

5.NaciskaćAi postępuj zgodnie zWchodzić.

The 'ms-LAPS-Password' schema attribute needs to be added to the AD schema.
Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

3. Sprawdź atrybuty LAPS

Aby sprawdzić, czy schemat LapsAdSchema został pomyślnie uruchomiony, uruchom plikAktualizacja LapsAdSchemaponownie z-Gadatliwyparametr.

Update-LapsAdSchema -Verbose

Koniec wyniku jest ważny, co pokazuje, że schemat LAPS został już pomyślnie rozszerzony o atrybuty:

  • msLAPS — Czas wygaśnięcia hasła
  • msLAPS — hasło
  • Hasło szyfrowane msLAPS
  • msLAPS-EncryptedPasswordHistory
  • Hasło msLAPS-Encrypted DSRM
  • msLAPS-EncryptedDSRMPaswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-PasswordExpirationTime
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-Password
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has all expected LAPS-related mayContains
VERBOSE:
VERBOSE: ProcessRecord completed
VERBOSE:
VERBOSE: EndProcessing started
VERBOSE: EndProcessing completed

Przejdź do właściwości obiektu AD systemu Windows 10/Windows 11 i wybierz opcjęAtrybutpatka.

Notatka:Jeśli nie widziszEdytor atrybutówkliknij opcję Użytkownicy i komputery usługi Active Directory na pasku menuPoglądi włączZaawansowane funkcje.

Zobaczysz takżeOKRĄŻENIAzakładkę i możesz ją kliknąć. Ale na razie jest pusty i zapełni informacje po wykonaniu wszystkich kroków.

Zarządzane urządzenie musi uzyskać pozwolenie na aktualizację hasła. Tę czynność wykonuje się poprzez ustawienie dziedzicznych uprawnień w jednostce organizacyjnej (OU), w której znajduje się urządzenie. To ustawienie będzie miało zastosowanie również do wszystkich zagnieżdżonych jednostek organizacyjnych.

W naszym przykładzie chcemy ustawić uprawnienia do plikuFirmaLUB.

Ustaw uprawnienia naFirmaOU zSet-LapsADComputerSelfPermissionpolecenie cmdlet.

Notatka:Czy macie komputery w innych jednostkach organizacyjnych? Należy powtórzyć poniższe czynności i dodać jednostki organizacyjne, do których dodano komputery.

Set-LapsADComputerSelfPermission -Identity "Company"

Załóżmy, że to się nie powiedzie, ponieważ nazwa jednostki organizacyjnej jest używana wiele razy w Active Directory, a następnie skopiuj plikNazwa wyróżniająca OUi umieść to w poleceniu.

Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"

5. Skonfiguruj obiekt GPO LAPS

Skonfiguruj obiekt GPO dla LAPS i włącz jego ustawienia.

1.Uruchom Zarządzanie zasadami grupy na kontrolerze domeny.

2.Kliknij prawym przyciskiem myszyKomputery stacjonarneLUB.

3.TrzaskUtwórz obiekt GPO w tej domenie i połącz go tutaj.

Czy nowy obiekt zasad grupy (GPO) jest zasadą użytkownika czy komputera? A może umieścisz ustawienia zasad użytkownika i komputera w obiekcie GPO? Jeśli to jestPolityka komputerowa, zalecamy umieszczenieC_przed nazwą zasady grupy. Jeśli jest to Polityka użytkownika, zrób z niej:W_. Czy chcesz dodać ustawienia zasad komputera i użytkownika w nowym obiekcie zasad grupy? Nazwij toZ_.

  • Coznacza politykę komputerową
  • Woznacza Politykę Użytkownika
  • Zoznacza zasady dotyczące komputera i użytkownika

W naszym przykładzie obiekt GPO jest zasadą komputera, więc nazwa zacznie się odC_.

4.Nadaj Polityce nazwę:C_LAPS.

5.Kliknij prawym przyciskiem myszyC_LAPSGPO i kliknijRedagować.

6.Przejdź doKonfiguracja komputera>Zasady>Szablony administracyjne>System>OKRĄŻENIA.

Notatka:Jeśli masz sklep centralny, nie widzisz folderu LAPS w obszarze Szablony administracyjne. SkopiujDZIECKO.admxplik z C:WindowsPolicyDefinitions iDZIECKO.admlplik z C:WindowsPolicyDefinitionsen-US do magazynu centralnego. Na przykład \exoip.localSYSVOLexoip.localPolicies. Następnie zobaczysz folder LAPS.

7.Kliknij dwukrotnieSkonfiguruj katalog kopii zapasowych hasełustawienie.

8.WybieraćWłączonyi wybierz katalog kopii zapasowejAktywny katalog.

Ważny:MusiszWŁĄCZAĆustawienie i wybierzAktywny katalogLubAzure Active Directory. W przeciwnym razie hasło administratora lokalnego nie będzie zarządzane i nie będzie działać.

9.Kliknij dwukrotnieUstawienia hasłaustawienie.

10.WybieraćWłączonyi skonfigurujzłożoność hasła.

11.Kliknij dwukrotnieNazwa konta administratora, którym chcesz zarządzaćustawienie.

12.WybieraćWłączonyi wstaw nazwę konta administratoralapsadmin.

13.Tak wygląda stan obiektu GPO LAPS.

Jeśli nie tylko administratorzy domeny będą czytać i resetować hasło LAPS, musisz także skonfigurować politykęSkonfiguruj autoryzowane narzędzia do odszyfrowywania haseł. W przeciwnym razie pojawi się błąd, a wartości LAPS będą puste.

Przeczytaj więcej w artykule Jak naprawić błąd uprawnień do odszyfrowania hasła konta LAPS w systemie Windows.

6. Utwórz konto administratora lokalnego

W poprzednim kroku włączyliśmy opcjęNazwa konta administratora, którym chcesz zarządzaćustawienie i ustawnazwa konta administratora:lapsadmin.

Obiekt GPO LAPS nie utworzy konta administratora lokalnego na wszystkich komputerach. To coś, czym musisz się zająć, korzystając z innego obiektu zasad grupy, skryptu PowerShell lub innego wyboru.

Ważny:Wyłącz wszystkie inne konta administratora lokalnego i upewnij się, że tylkolapsadminkonto jest włączone ze względów bezpieczeństwa.

Tak to będzie wyglądać na komputerze.

Notatka:Po wykonaniu wszystkich powyższych kroków uruchom ponownie komputer z systemem Windows przyłączony do domeny, aby zmiany zaczęły obowiązywać.

Konfiguracja Windows LAPS została pomyślnie ukończona.

Zdobądź hasło LAPS

Zobaczmy teraz, jak odzyskać hasło LAPS w GUI i PowerShell.

Uzyskaj hasło LAPS za pomocą GUI

Uzyskaj hasło LAPS bezpośrednio z konsoli Użytkownicy i komputer usługi Active Directory.

1.StartUżytkownicy i komputery usługi Active Directory.

2.Przejdź do obiektu komputera ADwłaściwości.

3.Wybierz zakładkęOKRĄŻENIA.

Zobaczysz, że pola są teraz wypełnione i nie są już puste. Oznacza to, że Active Directory połączył się z komputerem z systemem Windows i zsynchronizował informacje.

4.KliknijPokaż hasło.

Uzyskaj hasło LAPS za pomocą programu PowerShell

Doskonałym sposobem na uzyskanie hasła i informacji LAPS jest użycie programu PowerShell.

1.Uruchom PowerShell jako administrator

2.UruchomGet-LapsADHasłocmdlet i wypełnijkomputer docelowy, w tym-Tekst skargiparametr.

Get-LapsADPassword "WIN10" -AsPlainText

Pojawi się poniższy wynik.

ComputerName        : WIN10
DistinguishedName   : CN=WIN10,OU=Desktops,OU=Company,DC=exoip,DC=local
Account             : lapsadmin
Password            : .[lBkDWXy1&kg3
PasswordUpdateTime  : 4/17/2023 10:23:46 AM
ExpirationTimestamp : 5/17/2023 10:23:46 AM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : EXOIPDomain Admins

Zaloguj się przy użyciu hasła LAPS

Zawsze sprawdzaj, czy wszystko działa zgodnie z oczekiwaniami, i testuj hasło do konta administratora lokalnego LAPS.

Zaloguj się na konto administratora lokalnegolapsadminihasłoktóry pojawia się w LAPS na komputerze.

Udało nam się zalogować do komputera z systemem Windows 10 za pomocą hasła administratora lokalnego wygenerowanego z usługi Active Directory (LAPS).

Zresetuj hasło Windows LAPS

Są chwile, kiedy chcesz zresetować hasło Windows LAPS.

1.KliknijWygasa teraz.

2.Uruchom aktualizację obiektu GPO na komputerze z systemem Windows i sprawdź, czy hasło konta administratora lokalnego LAPS zostało zresetowane.

3.Można także uruchomićResetuj hasło okrążeńcmdlet na komputerze z systemem Windows.

Reset-LapsPassword

4.Spowoduje to zresetowanie ważności bieżącego/nowego hasła i hasła konta administratora lokalnego LAPS.

Pomyślnie skonfigurowałeś Windows LAPS w Active Directory i przetestowałeś, czy wszystko działa.

Wniosek

Nauczyłeś się konfigurować Windows LAPS w Active Directory. Rozwiązanie dotyczące hasła administratora lokalnego systemu Windows to doskonała funkcja systemu Windows służąca do zarządzania hasłami administratora lokalnego dla komputerów przyłączonych do domeny. Skonfiguruj go raz, a Microsoft automatycznie przekaże dla niego aktualizacje za pośrednictwem usługi Windows Update.

Czy podobał Ci się ten artykuł? Możesz także polubić Zarządzanie pakietem Microsoft Office za pomocą zasad grupy. Nie zapomnij nas obserwować i udostępnić ten artykuł.

Related Posts

SSID: Co to znaczy i jak znaleźć swoje

SSID: Co to znaczy i jak znaleźć swoje

2025-06-19
Jak przetestować powiększenie przed spotkaniem

Jak przetestować powiększenie przed spotkaniem

2025-05-07
Wymień certyfikat Federacji wygasł

Wymień certyfikat Federacji wygasł

2025-03-02
Jak usunąć klawiaturę angielską USA lub Wielkiej Brytanii z paska zadań Windows 11

Jak usunąć klawiaturę angielską USA lub Wielkiej Brytanii z paska zadań Windows 11

2025-05-03
Jak chronić plik Outlook .OST przed nieautoryzowanym dostępem

Jak chronić plik Outlook .OST przed nieautoryzowanym dostępem

2025-05-07
Jak pobrać Amazon Prime Video na Windows 11

Jak pobrać Amazon Prime Video na Windows 11

2023-12-18
Sztuczna inteligencja

Sztuczna inteligencja

2025-03-07
Artykuły dotyczące systemu Windows XP

Artykuły dotyczące systemu Windows XP

2024-12-16
Poprawka: Naciśnięcie klawisza F5 otwiera wyszukiwanie menu Start zamiast odświeżania strony internetowej

Poprawka: Naciśnięcie klawisza F5 otwiera wyszukiwanie menu Start zamiast odświeżania strony internetowej

2025-02-11
Ankieta pokazuje, że problem z zestawem głośnomówiącym Pixel jest bardziej powszechny, niż sądziliśmy

Ankieta pokazuje, że problem z zestawem głośnomówiącym Pixel jest bardziej powszechny, niż sądziliśmy

2025-11-13
Aktualizacja aplikacji Network UniFI 9.1.92

Aktualizacja aplikacji Network UniFI 9.1.92

2025-02-20
Jak oglądać DAZN za darmo na Sky

Jak oglądać DAZN za darmo na Sky

2024-12-26
Wiadomości technologiczne, łączące w sobie opinie ekspertów, rozwiązania i wiele więcej.

Wiadomości technologiczne, łączące w sobie opinie ekspertów, rozwiązania i wiele więcej.

2025-01-03
Dlaczego Utorrent mnie nie otworzy?

Dlaczego Utorrent mnie nie otworzy?

2025-05-03
Kontroluj pamięć SharePoint dzięki limitom historii wersji

Kontroluj pamięć SharePoint dzięki limitom historii wersji

2024-10-14