Geekly articles weekly

使用LAPS管理本地管理员密码

几乎每个系统管理员都面临的最常见问题之一是管理本地管理员密码。

有几种解决此问题的方法:

  1. 在所有计算机上使用一个密码。 可以在部署期间使用MDT或SCCM设置密码,也可以在部署之后使用组策略首选项设置密码。 通常,使用这种方法,密码永远不会更改,这意味着它迟早会泄漏(当管理员被解雇或用户可以窥视密码时),而被泄露的密码则可以访问组织中的所有PC。
  2. 在每台PC上一次性设置唯一密码。 通常与部署一起发生。 有很多选项-从手动生成随机密码并将其保存在密码记帐系统(Keepass,OnePassword,Excel)中,最后是根据管理员已知的算法自动生成密码,其中输入是PC的名称。 知道算法后,管理员可以立即计算出密码并登录到任何PC。 缺点与选项1大致相同:被解雇的管理员保留登录任何PC的能力,但是当用户泄露密码时,他只能访问一台PC,而不能一次访问所有PC。
  3. 使用的系统将自动为每台PC生成随机密码,并根据确定的时间表进行更改。 此处排除了先前选项的弊端-泄露的密码将根据计划进行更改,并且被解雇的管理员在一段时间后将无法登录PC,即使他窃取了在解雇时有效的密码数据库也是如此。

LAPS是这样一种系统,我们将在本文中讨论其安装和配置。

LAPS体系结构简图

膝关节


LAPS代表本地管理员密码解决方案,是AdmPwd的后继者,后者已被Microsoft收购并更名为LAPS。 LAPS是免费的,并且不需要使用其他基础设施,因为它使用Active Directory作为数据库。 可通过Microsoft Premier Support Services获得支持。

产品官方页面

原始AdmPwd的作者开发了新产品AdmPwd.E,但免费版本仅限20台PC,因此并不适合所有人。 官方网站

LAPS带有大量的文档(仅英文),通常给人留下极为周到和可靠的解决方案的印象。

建筑学


该系统由以下组件组成:

  1. 代理-通过MSI安装在所有托管PC上的组策略扩展。 它负责生成密码并将其保存在相应的AD对象中。
  2. PowerShell模块。 用于配置LAPS。
  3. 活动目录 存储本地管理员的密码。

每次更新组策略并执行以下任务时,都会调用该代理:

  • 检查本地管理员密码是否已过期
  • 如果当前密码已过期或需要在到期日期之前替换密码,则生成一个新密码
  • 更改本地管理员密码
  • 将密码保存在AD对象的相应属性中
  • 将密码到期日期存储在AD对象的相应属性中

管理员可以读取该密码,并在下次更新该策略时将其标记为需要更换。

下图显示了完整的LAPS操作图。

完整的LAPS架构图

安装和配置LAPS


首先,在将要配置的计算机上安装LAPS控件。

启动msi程序包并安装所有管理工具,其中包括LAPS UI,PowerShell模块和组策略模板。


如果您为组策略模板设置了集中式存储库,则立即将文件“ Admpwd.admx”和“ En-us \ AdmPwd.adml”从“%SystemRoot%\ PolicyDefinitions”传输到“ \\ contoso.com \ SYSVOL \ contoso.com” \ policy \ PolicyDefinitions“。

下一步是向AD模式添加新属性。 为此,请代表具有“架构管理员”权限的帐户打开PowerShell控制台,然后首先使用“导入模块AdmPwd.PS”命令导入模块,然后使用“ Update-AdmPwdADSchema”命令更新方案。





然后,您需要确保只有管理员才能访问新创建的属性。 这是必需的,因为密码以明文形式存储在AD中,并且访问密码的权限由AD ACL规定。 为此,请使用命令“ Find-AdmPwdExtendedrights -identity <OU,PC帐户在哪里” | 格式表。”



此命令返回将有权访问存储在AD中的密码的帐户/组的列表。 如果找到“冗余”帐户/组,请使用ADSIEdit实用程序正确配置访问权限。 确保不应该访问密码的组未选中“所有扩展权限”权限。



如果要授予其他组或帐户的密码访问权限,请使用命令“ Set-AdmPwdReadPasswordPermission -OrgUnit <OU,PC帐户所在的位置> -AllowedPrincipals <用户或组>”。

通过以下命令,发出在下一次组策略更新期间强制更改未过期密码的访问权限:“ Set-AdmPwdResetPasswordPermission -Identity <OU,PC帐户所在的位置> -AllowedPrincipals <用户或组>”





然后,您需要授予计算机本身权限以修改这些属性。 为此,请使用命令“ Set-AdmPwdComputerSelfPermission -OrgUnit <OU,PC帐户所在的位置>”



下一步是配置组策略。 我们可以控制其帐户名将更改的密码的复杂度和到期日期,以及打开和关闭LAPS。







仅当帐户是特殊创建的帐户时,才应显示该帐户的名称。 如果这是内置的科学帐户,则此参数必须保留在“未配置”中(即使重命名该帐户也是如此),因为内置的帐户将由众所周知的SID找到。



下一步是在PC上安装组策略扩展。 可以将其分配给组策略,SCCM或其他应用程序部署工具。 应当注意,默认情况下,msi软件包仅安装客户端部分,因此部署不需要将其他参数传递给安装程序。 仅在通过组策略进行部署时才需要重新引导PC。

查看密码的最简单方法是使用LAPS UI。 在适当的字段中输入计算机名称,然后单击“搜索”。 如果我们正确完成了所有操作,那么您将在相应的字段中看到密码。



结论


本文介绍了部署LAPS的基本步骤。 产品随附的文档中提供了更多信息。 LAPS还具有记录其操作的方法,本文没有讨论,但是在文档中对此进行了描述。

Source: https://habr.com/ru/post/zh-CN440624/

More articles:


All Articles