下載安裝LAPS

從網(wǎng)站可以很容易下載到LAPS安裝包：LAPS.x64.msi或 LAPS.x32.msi，需 要將其安裝到管理機(jī)上，在筆者所管理的系統(tǒng)中，本人是一臺(tái)成員服務(wù)器 (contososrv1) 的本地管理員，該成員服務(wù)器位于名為“Member servers”的組織單元（OU）中。然后在contososrv1上安裝LAPS，很快就完成。接著，需要在被管理的機(jī)器上安裝LAPS，此時(shí)可以采用PowerShell命令格式執(zhí)行安 裝 ：msiexec/ic:laps.x64.msi/quiet。

擴(kuò)展AD模式

在采用LAPS管理密碼之前，需要擴(kuò)展AD（活動(dòng)目錄）模式，具體而言需要添加兩個(gè)新的屬性“ms-MCSAdmPwd” 和“ms-MCSAdmPwdExpiration Time”，以備存儲(chǔ)設(shè)備的本地管理員賬戶密碼。其實(shí)LAPS本身就有PowerShell模塊，該模塊可自動(dòng)更新AD模式，此時(shí)我們的身份賬戶也應(yīng)當(dāng)是Schema Administrator，為此需要導(dǎo)入模塊和升級(jí)模式，執(zhí)行PowerShell命令?，F(xiàn)在，需要將新的AD屬性設(shè)置生效。首先，需要設(shè)備允許寫入新屬性，具體命令如下，其命令參數(shù)OrgUnit應(yīng)跟隨 O U名 稱：Set-AdmPwdCo mputerSelfPermission-OrgU nit‘member servers’。 接下去，我們需要了解OU中哪些users和groups可以具有相應(yīng)的擴(kuò)展權(quán)限，為此只要執(zhí)行以下命令即可知道：Find-AdmPwdExtendedrights-identity‘member servers’。在筆者的系統(tǒng)中，有上述權(quán)限者 僅 限D(zhuǎn)omain Admins和SYSTEM，因而筆者不需要進(jìn)行任何改變設(shè)置。但在實(shí)際工作中，我們往往需要針對OU中的特定用戶甚至組取消上述權(quán)限，這時(shí)我們可以通過系統(tǒng)提供的Server Manager中工具菜單下的ADSI進(jìn)行操作即可。

在GPO中設(shè)置LAPS

經(jīng)過上述工作，筆者需要為LAPS生成組策略對象（GPO），并將其應(yīng)用于本人的成員服務(wù)器OU，進(jìn)入組策略編輯器，進(jìn)行操作即可。從組策略編輯器中可以看到，有關(guān)LAPS組策略的設(shè)置內(nèi)容有Password Settings(密 碼 設(shè) 置 )、Name of administrator account to manage（所要管理的管理員賬戶）、Do not allow password expiration time longer than required by policy （不允許密碼逾期）、Enable local admin password management（允 許管理本地管理員密碼），我們在管理機(jī)上選擇第4項(xiàng)；第1項(xiàng)設(shè)置密碼的復(fù)雜度、長度和有效期（默認(rèn)是30天，14字符長）。設(shè)置完畢后，授權(quán)用戶就能查看到存儲(chǔ)在AD內(nèi)的密碼了。