從網(wǎng)站可以很容易下載到LAPS安裝包:LAPS.x64.msi或 LAPS.x32.msi,需 要將其安裝到管理機(jī)上,在筆者所管理的系統(tǒng)中,本人是一臺(tái)成員服務(wù)器 (contososrv1) 的本地管理員,該成員服務(wù)器位于名為“Member servers”的組織單元(OU)中。然后在contososrv1上安裝LAPS,很快就完成。接著,需要在被管理的機(jī)器上安裝LAPS,此時(shí)可以采用PowerShell命令格式執(zhí)行安 裝 :msiexec/ic:laps.x64.msi/quiet。
在采用LAPS管理密碼之前,需要擴(kuò)展AD(活動(dòng)目錄)模式,具體而言需要添加兩個(gè)新的屬性“ms-MCSAdmPwd” 和“ms-MCSAdmPwdExpiration Time”,以備存儲(chǔ)設(shè)備的本地管理員賬戶密碼。其實(shí)LAPS本身就有PowerShell模塊,該模塊可自動(dòng)更新AD模式,此時(shí)我們的身份賬戶也應(yīng)當(dāng)是Schema Administrator,為此需要導(dǎo)入模塊和升級(jí)模式,執(zhí)行PowerShell命令?,F(xiàn)在,需要將新的AD屬性設(shè)置生效。首先,需要設(shè)備允許寫入新屬性,具體命令如下,其命令參數(shù)OrgUnit應(yīng)跟隨 O U名 稱:Set-AdmPwdCo mputerSelfPermission-OrgU nit‘member servers’。 接下去,我們需要了解OU中哪些users和groups可以具有相應(yīng)的擴(kuò)展權(quán)限,為此只要執(zhí)行以下命令即可知道:Find-AdmPwdExtendedrights-identity‘member servers’。在筆者的系統(tǒng)中,有上述權(quán)限者 僅 限D(zhuǎn)omain Admins和SYSTEM,因而筆者不需要進(jìn)行任何改變設(shè)置。但在實(shí)際工作中,我們往往需要針對OU中的特定用戶甚至組取消上述權(quán)限,這時(shí)我們可以通過系統(tǒng)提供的Server Manager中工具菜單下的ADSI進(jìn)行操作即可。
經(jīng)過上述工作,筆者需要為LAPS生成組策略對象(GPO),并將其應(yīng)用于本人的成員服務(wù)器OU,進(jìn)入組策略編輯器,進(jìn)行操作即可。從組策略編輯器中可以看到,有關(guān)LAPS組策略的設(shè)置內(nèi)容有Password Settings(密 碼 設(shè) 置 )、Name of administrator account to manage(所要管理的管理員賬戶)、Do not allow password expiration time longer than required by policy (不允許密碼逾期)、Enable local admin password management(允 許管理本地管理員密碼),我們在管理機(jī)上選擇第4項(xiàng);第1項(xiàng)設(shè)置密碼的復(fù)雜度、長度和有效期(默認(rèn)是30天,14字符長)。設(shè)置完畢后,授權(quán)用戶就能查看到存儲(chǔ)在AD內(nèi)的密碼了。