本文详细介绍了为lap配置组策略的步骤。的组策略配置,这是第三篇也是最后一篇圈.
在这篇文章中,我们将修改一些与LAPS相关的组策略设置。我们知道LAPS提供域连接计算机的本地帐户密码管理。密码存放在AD (Active Directory)中,受ACL保护。因此,只有符合条件的用户才能读取它或请求重置它。
在我之前的文章中,我们讨论了两个重要的主题。第一个是如何安装和部署微软lap软件华体会体育系列第二,如何为lap配置Active Directory.你可以通过点击下面的链接来访问这两篇文章。
如何配置组策略
配置组策略
- 启动组策略管理控制台。
- 右键单击域计算机所在的OU。
- 单击在此域中创建GPO并在这里链接它。
- 指定一个组策略名称,例如“LAPS”,然后单击OK。
- 在下一步中编辑GPO。
LAPS的设置位于下面电脑配置>管理模板>圈.您可以看到有四个设置。我们将配置所需的那些。
右键单击策略设置启用本地管理员密码管理并点击属性.因为我们希望管理本地管理员密码,所以我们将启用策略设置。点击好吧.
LAPS密码设置
接下来编辑密码设置策略。默认情况下,密码复杂度不超过14个字符,每30天更新一次。
您可以通过编辑组策略来更改这些值以满足您的需要。您可以根据需要更改个别的密码设置。单击OK。
管理员帐号名称—如果选择管理自定义本地管理员帐号,则必须在“组策略”中指定其名称。我还没有配置此策略设置。
防止密码重置计划时间过长-如果你不想让设置规划管理员帐户的密码过期时间比最大密码年龄长,你可以在GPO中这么做。
如果您想使用powershell查看计算机的密码设置,Get-AdmPwdPassword将帮助您。
- Import-Module AdmPwd.PS
- Get-AdmPwdPassword -计算机名计算机名称”
如果没有被授予查看本地Administrators密码的权限的用户试图访问该密码,会发生什么情况?如果他们获得访问GUI界面的权限,则不会显示密码。
对于GUI用户,有一种很酷的方法来查找密码设置。运行AdmPwd。用户界面文件作为管理员。该文件位于C:\Program Files\LAPS文件夹中。
在LAPS UI窗口中,输入计算机名并单击搜索.除了密码之外,还可以看到过期信息。
在客户端机器上执行gpupdate。现在查看计算机对象的属性并查看新的设置。密码是可见的(纯文本)。
9评论
当我去添加GP时,管理模板中不包括LAPS。我如何安装它?
你需要导入它。
首先从Microsoft站点安装LAPS软件。华体会体育系列接下来进入:C:\Windows\PolicyDefinitions并复制:
AdmPWD.admx
将其粘贴到:C:\Windows\SysVol\domain\policies\PolicyDefinitions
下一个拷贝AdmPWD。从C:\Windows\PolicyDefinitions\en-us
成:C:\Windows\SYSVOL\domain\Policies\ PolicyDefinitions \ en - us
刷新您的组策略控制台并重新打开GPO,您将看到它列在计算机配置\管理模板\LAPS下面
嗨Prajwal
非常有见地的指南。谢谢你!
我有一个主要的问题后执行这在我的工作环境。
ONE属性ms-Mcs-AdmPwdExpirationTime注册更改时,我检查计算机属性,然而,ms-Mcs-AdmPwd不,和LAPS GUI报告,密码已成功重置,当它没有?
有什么建议吗?
非常感谢你的帮助。
谢谢你!
亲切的问候
如果电脑离开网络很长时间,很少访问公司网络,在这种情况下,密码是如何修改的。
这不是将GPO应用到域的最佳方法。
使用专用OU应用lap。我认为像dc这样的服务器不应该是lap客户端的一部分。当然,另一个原因是在将lap应用到整个组织之前需要进行测试——而将GPO应用到整个领域又是错误的。小心!
我就是这么想的,所以我把我的电脑、笔记本电脑、平板电脑等都放在了远离服务器的地方。
嗨,Prajwal,我尝试了这个方法,并按照你的指导完成了设置,当我查找一个密码时,我确实会得到一个值,但这是什么账户?不确定我理解这最后一部分,我认为它将是本地管理员帐户,我手动设置一个预定义的密码,但结果是不同的,尝试使用密码从lap与管理员用户名,它不会登录我。你能帮忙吗?
我不确定这是否适用,但从我从这收集它随机重置本地管理密码,你使用lap UI获得该密码。我认为它应该是本地机器的Administrator帐户。我可能是错的。
迈克尔
嗨,Prajwal,我尝试了这个方法,并按照你的指导完成了设置,当我查找一个密码时,我确实会得到一个值,但这是什么账户?不确定我理解这最后一部分,我认为它将是本地管理员帐户,我手动设置一个预定义的密码,但结果是不同的,尝试使用密码从lap与管理员用户名,它不会登录我。你能帮忙吗?