在 LAPS 属性对话框中设置 Windows LAPS

了解如何使用“Windows Server Active Directory 用户和计算机管理”管理单元中的“LAPS 属性”对话框为 Windows Server Active Directory 配置 Windows 本地管理员密码解决方案 (Windows LAPS)。

Windows LAPS 管理单元可用性

已启用 Windows LAPS 的 Active Directory 用户和计算机管理单元适用于已使用 Windows LAPS 功能进行修补的 Windows Server 平台。 必须将 Active Directory 用户和计算机管理单元作为较大 Active Directory Domain Services 角色的一部分或作为 AD DS Snap-in and Command-Line Tools 单个功能的一部分进行安装。

安装 AD DS Snap-Ins and Command-Line Tools 功能的一种方法是从命令行安装，如下所示：

dism.exe /online /enable-feature:DirectoryServices-DomainController-Tools /all

已启用 Windows LAPS 的 Active Directory 用户和计算机管理单元适用于已使用 Windows LAPS 功能通过远程服务器管理工具 (RSAT) 进行修补的 Windows Server 平台。 你可在客户端平台上添加 RSAT，具体方法则是：依次转到“设置”、“系统”（如果使用的是早于 Windows 10 22H2 的版本，则为“应用”）、“可选功能”，然后添加 RSAT（专门搜索并添加“RSAT: Active Directory 域服务和轻型目录服务工具”）。

已启用 Windows LAPS 的 Active Directory 用户和计算机管理单元在不支持 Windows LAPS 的旧平台上不可用。 旧的远程服务器管理工具包未更新，无法支持新的管理单元。

管理单元中的 LAPS 属性对话框

Windows Server Active Directory 用户和计算机管理单元包括可用于计算机对象的 LAPS 属性对话框：

可以使用属性对话框完成以下操作：

• 查看当前密码过期时间。
• 修改密码过期时间。
• 废除密码过期时间。
• 查看当前帐户名和密码。

重要

LAPS 属性对话框不支持查看旧版 Microsoft LAPS 密码或密码过期时间。

查看当前密码过期时间

首次转到 Windows Server Active Directory 计算机的“属性”对话框时，日期时间控件显示当前密码过期时间。 例如：

修改密码过期时间

可以使用日期时间控件修改密码过期时间。 例如：

如果修改日期或时间，请选择应用，然后选择确定。

手动使密码过期

若要立即使密码过期，请选择立即过期：

依次选择应用、确定。

查看当前帐户名和密码

如果你有权读取和解密计算机的当前 Windows LAPS 密码属性，则帐户名称和密码将包含你的用户名和密码。 选择复制密码以将密码复制到剪贴板。 选择显示密码以显示密码。

如果无权读取或解密当前密码信息，则会显示一个警告对话框。

重要

Active Directory 用户和计算机管理单元仅支持查看最近存储的密码。 若要查询较旧的密码（假设已启用密码历史记录），必须使用 Get-LapsADPassword PowerShell cmdlet。

后续步骤

• Windows LAPS 架构扩展参考
• Windows LAPS 中的关键概念