您可以使用 Windows 本機系統管理員密碼解決方案 (Windows LAPS) 來管理本機系統管理員帳戶和域控制器目錄服務還原模式 (DSRM) 帳戶的密碼。 本文說明如何開始使用 Windows LAPS 和 Windows Server Active Directory。 它說明使用 Windows LAPS 將密碼備份至 Windows Server Active Directory 並擷取密碼的基本程式。
網域功能等級和域控制器作系統版本需求
如果您的網域功能等級 (DFL) 早於 2016 年,您就無法啟用 Windows LAPS 密碼加密。 沒有密碼加密:
- 您可以設定用戶端僅以純文本儲存密碼,並受到 Windows Server Active Directory 訪問控制清單 (ACL) 保護。
- 您無法設定域控制器來管理其本機 DSRM 帳戶。
當您的網域使用 2016 或更新版本的 DFL 時,您可以啟用 Windows LAPS 密碼加密。 不過,您執行的任何 Windows Server 2016 和舊版域控制器都不支援 Windows LAPS。 因此,這些域控制器無法使用 DSRM 帳戶管理功能。
只要您知道這些限制,就可以在域控制器上使用 Windows Server 2016 和先前支援的作系統。
下表摘要說明各種案例中支援的功能:
| 網域詳細資料 | 支援儲存純文字密碼 | 支援儲存加密的密碼 (適用於已加入網域的用戶端) | 支援的 DSRM 帳戶管理(適用於網域控制器) |
|---|---|---|---|
| DFL 早於 2016 年 | 是 | 無 | 無 |
| 2016 DFL 與一或多個 Windows Server 2016 或更早版本的網域控制器 | 是 | 是 | 是,但僅適用於 Windows Server 2019 和更新版本的域控制器 |
| 2016 DFL 只有 Windows Server 2019 和更新版本的域控制器 | 是 | 是 | 是 |
強烈建議您升級至用戶端、伺服器和域控制器上最新的可用作系統,以利用最新的功能和安全性改進功能。
準備 Active Directory
在配置已加入 Active Directory 或混合式聯合加入的裝置,將受管理帳戶的密碼備份至 Active Directory 之前,請先遵循下列步驟。
備註
如果您計劃僅將密碼備份到 Microsoft Entra ID,則無需執行這些步驟,包括擴充 AD 結構描述。
- 如果您使用組策略中央存放區,請手動將 Windows LAPS 組策略範本檔案複製到中央存放區。 如需詳細資訊,請參閱 設定 Windows LAPS 的原則設定。
- 分析、判斷及設定密碼到期和密碼擷取的適當 AD 權限。 請參閱 Windows Server Active Directory 密碼。
- 分析並判斷用於解密密碼的適當授權群組。 請參閱 Windows Server Active Directory 密碼。
- 建立新的 Windows LAPS 原則,以先前步驟中決定的適當設定的受管理裝置為目標。
更新 Windows Server Active Directory 結構描述
您必須先更新 Windows Server Active Directory 架構,才能使用 Windows LAPS。 您可以使用 Cmdlet 來執行此動作 Update-LapsADSchema 。 這是整個森林的一次性操作。 您可以在 Windows Server 2019 或更新版本的域控制器上使用 Windows LAPS 在本機執行 Update-LapsADSchema Cmdlet。 但是,只要伺服器支援 Windows LAPS PowerShell 模組,您也可以在不是域控制器的伺服器上執行此 Cmdlet。
PS C:\> Update-LapsADSchema
提示
在 -Verbose 命令行中包含 參數,以查看處理期間 Cmdlet 進度的詳細資訊。 您可以使用 -Verbose 參數搭配 LAPS PowerShell 模組中的任何 Cmdlet。
授與受管理裝置更新其密碼的許可權
當您使用 Windows LAPS 來管理裝置上的密碼時,該受管理裝置必須獲得更新其密碼的許可權。 您可以在包含裝置的組織單位 (OU) 上設定可繼承的許可權,以執行此動作。 您可以針對此目的使用 Set-LapsADComputerSelfPermission Cmdlet,如下列程式代碼所示:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
提示
如果您想要在網域根目錄上設定可繼承的許可權,您可以使用辨別名稱 (DN) 輸入格式來指定整個網域根目錄。 例如,您可以使用 -Identity 參數搭配 DC=laps,DC=com 引數。
授與密碼查詢許可權
用戶必須獲得許可權,才能從Active Directory 查詢密碼。 您可以在包含裝置的組織單位 (OU) 上設定可繼承的許可權,以執行此動作。 您可以針對此目的使用 Set-LapsADReadPasswordPermission Cmdlet,如下列程式代碼所示:
PS C:\> Set-LapsADReadPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordReadersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
提示
根據預設,Domain Admins 群組的成員已經有密碼查詢許可權。
提示
當用戶獲得從 Active Directory 查詢密碼的許可權時,不會自動表示使用者有權解密加密密碼。 在裝置將密碼儲存在Active Directory時,會使用 ADPasswordEncryptionPrincipal 原則設定來設定解密加密密碼的許可權。 的默認原則設定 ADPasswordEncryptionPrincipal 是 Domain Admins 群組。
授與密碼到期許可權
用戶必須獲得許可權,才能設定儲存在 Active Directory 中的密碼到期時間。 當 Active Directory 中將密碼標示為過期時,裝置會在下一個處理週期輪替密碼。 用戶可以使用此機制將剩餘時間縮短(或延長)到下一個預期的密碼輪替。
您可以在包含裝置的組織單位 (OU) 上設定可繼承的許可權,以執行此動作。 您可以針對此目的使用 Set-LapsADResetPasswordPermission Cmdlet,如下列程式代碼所示:
PS C:\> Set-LapsADResetPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordExpirersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
提示
根據預設,Domain Admins 群組的成員已經有密碼到期許可權。
提示
Cmdlet Set-LapsADPasswordExpirationTime 可用來在 Active Directory 中設定指定裝置的密碼到期時間,一旦授與許可權。
查詢延伸權限許可
某些使用者或群組可能有受控裝置 OU 的延伸許可權。 這種情況有問題,因為擁有此許可權的使用者可以讀取機密屬性,而且所有 Windows LAPS 密碼屬性都會標示為機密。
您可以使用 Find-LapsADExtendedRights Cmdlet 來檢視誰具有此許可權,如下列程式代碼所示:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
在輸出中,只有受信任的實體 SYSTEM 和 Domain Admins 具有許可權。 在此情況下,不需要採取任何其他動作。
設定裝置原則
下列各節說明如何設定裝置原則。
選擇策略部署機制
第一步是選擇要如何在您的裝置上套用原則。
大部分的環境都會使用 Windows LAPS 群組原則,將必要的設定部署到已加入 Windows Server Active Directory 網域的裝置。
如果您的裝置也混合加入 Microsoft Entra ID,則可以透過將 Microsoft Intune 與 Windows LAPS 組態服務提供者 (CSP) 結合使用來部署策略。
設定特定原則
您至少必須透過指派BackupDirectory值來設定2。 這個值用來將密碼備份至 Windows Server Active Directory。
如果您未設定 AdministratorAccountName 此設定,Windows LAPS 預設會管理預設的內建本機系統管理員帳戶。 此內建帳戶會使用其已知的相對標識碼 (RID) 自動識別。 不應該使用其名稱來識別它。 內建本機 Administrator 帳戶的名稱會有所不同,取決於裝置的預設地區設定。
如果您想要設定自定義本機系統管理員帳戶,您應該 AdministratorAccountName 使用該帳戶的名稱來設定設定。
重要
如果您設定 Windows LAPS 來管理自訂的本機 Administrator 帳戶,則必須確定已建立該帳戶。 Windows LAPS 不會建立該帳戶。 建議您使用 RestrictedGroups CSP 來建立帳戶。
您可以視需要為組織設定其他設定,例如 PasswordLength。
當您未設定指定的設定時,會套用預設值。 請確定您瞭解設定的預設值。 例如,如果您啟用密碼加密但未設定 ADPasswordEncryptionPrincipal 設定,則會加密密碼,讓只有 Domain Admins 才能解密密碼。 如果您希望網域管理員以外的用戶能夠解密,則可以 ADPasswordEncryptionPrincipal 使用不同的設定進行設定。
更新 Windows Server Active Directory 中的密碼
Windows LAPS 每小時會執行處理作用中的原則。 您也可以手動啟動處理週期,因為 Windows LAPS 會回應組策略變更通知。
若要確認 Windows Server Active Directory 中已成功更新密碼,請在事件記錄檔中尋找標識符為 10018 的事件:
若要避免在套用原則之後等候,您可以執行 Invoke-LapsPolicyProcessing PowerShell Cmdlet 以立即處理原則。
從 Windows Server Active Directory 擷取密碼
您可以使用 Get-LapsADPassword Cmdlet 從 Windows Server Active Directory 撷取密碼,如下列程式代碼所示:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
在此輸出中,這 Source 一行表示已啟用密碼加密。 密碼加密要求您的網域已針對 Windows Server 2016 或更新版本 DFL 進行設定。
如果您拒絕存取查詢密碼,您可以調整密碼讀取許可權。 請參閱 授與密碼查詢許可權。
輪替密碼
在每個原則處理週期期間,Windows LAPS 會從 Windows Server Active Directory 讀取密碼到期時間。 如果密碼過期,則會立即產生並儲存新密碼。
在某些情況下,您可能會想要儘早輪替密碼,例如,在安全性缺口或即興測試期間。 若要以手動方式強制輪替密碼,您可以使用 Reset-LapsPassword Cmdlet。
您可以使用 Set-LapsADPasswordExpirationTime Cmdlet 來設定儲存在 Windows Server Active Directory 中的排程密碼到期時間。 下列程式代碼會將到期時間設定為目前時間:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
下次 Windows LAPS 處理目前的原則時,會看到修改過的密碼到期時間,並輪替密碼。 如果您不想等候下一個處理週期,您可以執行 Invoke-LapsPolicyProcessing cmdlet 立即處理政策。
您可以使用 Reset-LapsPassword Cmdlet,在本機強制立即輪替密碼。
在 Windows Server Active Directory 災害復原案例期間擷取密碼
若要擷取 Windows LAPS 密碼(包括 DSRM 密碼),您通常需要至少一個 Windows Server Active Directory 域控制器才能使用。 在災難性的案例中,網域中的所有域控制器都可能會關閉。 在此情況下,您要如何復原密碼?
Windows Server Active Directory 管理的最佳做法建議定期備份所有域控制器。 您可以使用PowerShell Cmdlet 並指定 Get-LapsADPassword 參數,查詢儲存在掛接備份 Windows Server Active Directory 資料庫中-Port的 Windows LAPS 密碼。
在 Windows 預覽體驗版本 27695 和更新版本中,Get-LapsADPassword cmdlet 提供改良的密碼擷取功能。 具體而言,當您使用 Get-LapsADPassword Cmdlet 並指定 -Port 和 -RecoveryMode 參數時,密碼復原會成功,而不需要連絡域控制器。 此外,您可以在工作組 (未加入網域的) 電腦上在此模式中執行 Get-LapsADPassword 。 此功能可在客戶端和伺服器作系統中使用。
提示
您可以使用 dsamain.exe 公用程式掛接 Windows Server Active Directory 備份媒體,並透過輕量型目錄存取通訊協定 (LDAP) 進行查詢。
dsamain.exe此工具預設不會安裝,因此必須新增此工具。 您可以使用 Enable-WindowsOptionalFeature Cmdlet 來啟用它。
- 在 Windows 用戶端電腦上,您可以執行
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Client。 - 在 Windows Server 電腦上,您可以執行
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM。
下列程式代碼會查詢儲存在本機掛接在埠 50000 上的 Windows Server Active Directory 備份資料庫中的 Windows LAPS 密碼:
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
重要
從安裝在工作組計算機上的 Windows Server Active Directory 備份資料庫擷取加密的 Windows LAPS 密碼時, AuthorizedDecryptor 欄位一律會以原始安全性標識碼 (SID) 格式顯示。 工作組電腦無法將 SID 轉譯成易記名稱。
另請參閱
- 使用 Microsoft Entra ID 的 Windows 本機系統管理員密碼解決方案簡介 (Azure AD)
- Microsoft Entra ID 中的 Windows 本機管理員密碼解決方案
- 受限群組 CSP
- Microsoft Intune
- Windows LAPS 的 Microsoft Intune 支援
- Windows LAPS CSP
- Windows LAPS 疑難解答指引