După implementarea Windows LAPS, unii administratori pot vedea numele și parola contului de administrator local LAPS, în timp ce alții văd ambele câmpuri goale. De ce se întâmplă acest lucru și care este soluția? În acest articol, veți afla cum să remediați eroarea de decriptare a parolei contului Windows LAPS.
Nu aveți permisiunea de a decripta parola contului
Să ne uităm la eroarea care apare.
Lectură recomandată:Exportați raportul de parole Windows LAPS
ÎnceputUtilizatori și computere Active Directoryși accesați proprietățile computerului pentru care doriți să preluați parola LAPS. Faceți clic peTURURIfila.
Apare avertismentul:
Parola contului este criptată, dar nu aveți permisiunea de a o decripta.
Câmpurile pentru numele contului de administrator local LAPS și parola pentru contul de administrator local LAPS sunt ambele goale. Cu toate acestea, vrem să vedem ambele câmpuri populate.
De ce se întâmplă acest lucru și cum să remediați mesajul de avertizare Parola contului este criptată, dar nu aveți permisiunea de a o decripta?
Dacă configurați Windows LAPS și vă conectați cu un cont cu permisiuni de administrator de domeniu, nu veți vedea acest avertisment.
Avertismentul apare deoarece contul de utilizator s-a conectat pentru a prelua numele și parola contului de administrator local LAPS nu este un administrator de domeniu. De exemplu, utilizatorii din echipa biroului de asistență nu au permisiuni de administrator de domeniu atribuite.
Pentru a remedia acest avertisment, trebuie să creăm un grup de securitate cu toți membrii săi. Apoi, setați permisiunile de citire LAPS și resetați pentru acel grup de securitate. În sfârșit, adăugați grupul la politica de decriptare a parolelor autorizate Windows LAPS.
Pasul 1. Creați un grup de securitate
Creați un grup de securitate înUtilizatori și computere Active Directory.
Adăugați membrii în grup. De asemenea, adăugați administratorii domeniului, deoarece acest grup va fi singurul grup capabil să citească și să resetați parola LAPS.
Pasul 2. Obțineți SID-ul grupului de securitate
Găsiți SID-ul grupului de securitate cu PowerShell.
Get-ADGroup "Windows_LAPS"Ieșirea apare cu SID-ul grupului.
DistinguishedName : CN=Windows_LAPS,OU=AD,OU=Groups,OU=Company,DC=exoip,DC=local
GroupCategory : Security
GroupScope : Universal
Name : Windows_LAPS
ObjectClass : group
ObjectGUID : 05c3f8a0-4f46-4441-ab41-796538b45a82
SamAccountName : Windows_LAPS
SID : S-1-5-21-1083891243-2317051905-4228426097-3278Copiați valoarea SID-ului grupului de securitate, va trebui să o utilizați în pașii următori.
Pasul 3. Setați permisiunile LAPS
Înlocuiți SID-ul grupului de securitate în ambele comenzi și rulați-l în PowerShell.
TheSet-LapsADReadPasswordPermissioncmdlet-ul va acorda grupului permisiunea de a interoga parolele Windows Local Administrator Password Solution (LAPS).
Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")TheSet-LapsADResetPasswordPermissioncmdlet-ul va acorda grupului permisiunea de a seta ora de expirare a parolei Windows Local Administrator Password Solution (LAPS).
Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")DeschideManagementul politicii de grup.
Navigați laConfigurarea computerului>Politici>Șabloane administrative>Sistem>TURURI.
Adăugați SID-ul grupului de securitate în câmpul Decriptor de parole autorizat.
În exemplul nostru, este:
S-1-5-21-1083891243-2317051905-4228426097-3278
Pasul 5. Verificați-vă munca
Important:Deconectați-vă și conectați-vă din nou pe serverul de management sau pe controlerul de domeniu, astfel încât setările de permisiune să aibă efect.
ÎnceputUtilizatori și computere Active Directory. Accesați proprietățile computerului și faceți clic peTURURIfila. Eroarea nu mai apare și apar numele contului de administrator local și valorile parolei LAPS.
Asta este!
Concluzie
Ați învățat cum să remediați parola contului este criptată, dar nu aveți permisiunea de a o decripta eroarea. Mai întâi, creați un grup de securitate și adăugați toți utilizatorii care ar trebui să poată vedea și reseta parola LAPS. După aceea, configurați politica de grup LAPS Decriptorul de parole autorizat și adăugați grupul la acesta. Nu uitați să vă deconectați și să vă conectați din nou pentru ca permisiunile să intre în vigoare.
Ți-a plăcut acest articol? De asemenea, s-ar putea să vă placă Cum să creați un raport de evaluare a securității Active Directory. Nu uitați să ne urmăriți și să distribuiți acest articol.
