.Single.post-Author, Autor : Konstantinos tsoukalas, Ostatnia aktualizacja : 2 kwietnia, 2025
Ten artykuł zawiera instrukcje krok po kroku, w jaki sposób zainstalować i skonfigurować okrążenia Microsoft w środowisku domeny w Directory.
Lokalne rozwiązanie hasła administratora Microsoft (LAPS) to funkcja bezpieczeństwa, która zapewnia sposób zarządzania lokalnymi hasłami administratora komputerów z domenami w bezpieczny, zautomatyzowany sposób. W szczególności dotyczy luki bezpieczeństwa w środowiskach korporacyjnych, w których lokalne hasło administratora jest takie samo na wielu komputerach, co ułatwia atakującym uzyskanie dostępu do wszystkich komputerów w sieci, jeśli narażone na szwep jeden komputer.
Jak działa lapy?
na każdym komputerze z domenem (po stronie klienta), nowa komputer GPO jest instalowany za rozszerzenie, które jest odpowiedzialne za wyniki Sile Loc Administrator Selodrator, a także aktualizację aktywnej administratora i Katalog z nowym hasłem.
w Active Directory, rozszerzono Schema do przechowywania z nami lokalnej administratora. Ułatwia administratorom uproszczenie zarządzania hasłem.
Jak instalować i konfigurować rozwiązanie hasła lokalnego administratora Microsoft (lapy).
Krok 1. Utwórz nowy OU ze wszystkimi komputerami, których chcesz użyć. (Opcjonalny krok).*
* Uwaga: Aby lapy działały, musisz mieć jednostkę organizacyjną (OU) ze wszystkimi stacji roboczych (klientów), które chcesz zarządzać hasłem lokalnego administratora za pomocą okrążeń. Więc jeśli nie masz OU do tego zadania, śmiało i utwórz nowy OU, dodaj do niego wszystkie stacje robocze, które chcesz użyć okrążeń. Aby to zrobić:
1. Otwórz Użytkownicy i komputery Active Directory.
2. Kliknij prawym przyciskiem myszy na swojej domenie i wybierz NOWOŚĆ > jednostka organizacji.
3. Podaj nową nazwę (np. „WorkStations”) i kliknij ok.
4. Teraz Otwórz komputery obiekt wybierz wszystkie komputery (stacje robocze), które chcesz używać okrążeń i kliknij ruch.
Krok 2. Zainstaluj okładki Microsoft na komputerze zarządzającym.
Pierwszy krok do zestawu administratora lokalnego (lapy), jest instalacja na literę instalacji w linii instalacji w linii instalacji na literę Komputer zarządzania.*
* Uwaga: Komputer zarządzający może być kontrolerem domeny lub dowolnym innym komputerem połączonym do domeny. (W tym artykule instalujemy lapy na kontrolerze domeny serwera 2016)
1. Pobierz oprogramowanie Laps ( laps.x64.msi) z poniższego linku:
2. Kliknij dwukrotnie na laps.x64.msi , aby rozpocząć instalację i wybierz Następnie na pierwszym ekranie. Następnie Zaakceptuj Umowa licencyjna i kliknij Następnie Ponownie.
3. Na następnym ekranie kliknij strzałkę po lewej stronie narzędzi zarządzania i wybierz Cała funkcja zostanie zainstalowana na lokalnym dysku twardym. Następnie kliknij Dalej , a następnie Zainstaluj , aby zainstalować okrążenia na komputerze zarządzającym.
Następnie idź naprzód i zainstaluj komponent Laps ADMPWD GPO Extension na wszystkich stacjach roboczych połączonych z domeną. Aby to zrobić: 1. Pobierz oprogramowanie Laps ( laps.x64.msi) z poniższego linku: 2. Kliknij dwukrotnie na laps.x64.msi , aby rozpocząć instalację i wybierz Następnie na pierwszym ekranie. Następnie Zaakceptuj Umowa licencyjna i kliknij Następnie Ponownie. 3. Na następnym ekranie upewnij się, że tylko ADMPWD GPO Extension jest wybrany i kliknij Następnie , a następnie Zainstaluj . src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-20.png”width=”622″height=”487″> Teraz, na twoim domena kontrolera i zmodyfikuj Schema Schema przez następujące dwa atrybulty. W obiektach „komputerów” w Active Directory: MS-MCS-ADMPWD : Ten atrybut wyświetli hasło administratora komputera w wyczuciu tekstu po zakończeniu konfiguracji lapów. MS-MCS-AdmpwDexpirationTime : Ten atrybut pokaże datę/godzinę wygaśnięcia hasła. 1. Aby dodać powyższe atrybuty, otwórz PowerShell na kontrolerze domeny i podać następujące dwa polecenia: Moduł importowy admpwd.ps aktualizacja-admpwdadschema 2. bez zamknięcia okna PowerShell, przejdź do następnego kroku. * * Uwaga: Jeśli zamkniesz okno PowerShell i otworzysz nowe, może być konieczne uruchomienie „Moduł importowy admpwd.ps”. Następnym krokiem w konfiguracji lądowania jest, aby zapewnić stacji pracy (klientów) wymagane zgody na aktualizację hasła i hasdacji zarządzania do zarządzania do zarządzania do administratora do podania hasła do zarządzania do administratora Komputer zarządzania lapami. Aby to zrobić, wydaj następujące polecenie w PowerShell, aby udzielić uprawnień do OU, którego chcesz użyć okrążeń (np. „STATSTATY” OU W tym przykładzie).* set-admpwdComputerSelSefpermission-orGunit „WorkStations” * notatka src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-22.png”szerokie=”682″height=”141″> krok 4. modyfikuj schemat Active Directory.
Krok 5. Ustaw uprawnienia stacji roboczych dla okrążeń.
krok 6. Utwórz zasadę grupową dla lapów. Zasady grupy Ustawienia lapów.
1. Open Server Manager oraz z menu narzędzi , a następnie otwórz zarządzanie zasadami grupy.
2. W konsoli zarządzania zasadami grupy rozwinąć domeny i pod domeną, kliknij prawym przyciskiem myszy OU, który zawiera komputery do okrążeń i wybierz Utwórz GPO w tej domenie i połącz ją tutaj…
4. teraz prawym prawym click > edit The New GPo. src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-25.png”szerokie=”682″height=”570″>
5. 5. Idź do konfiguracja komputera > Policiiss
Strong> okrążenia
6a. Otwórz Włącz lokalne zarządzanie hasłem administracyjnym Policy.
Włączone i kliknij ok.
7b. (czas ważności). Po zakończeniu kliknij ok.
* Uwaga: W przypadku, gdy skonfigurowałeś niestandardowe lokalne konto administratora na stacjach roboczych (np. Nazwa „LocalAdmin”) i chcesz używać tego konta zamiast „administratora” z okrążeniami, a następnie włącz nazwa administratora do zarządzania Policy i pisania nazwy lokalnego. src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-30.png”szerokie=”622″height=”577″>
Jak wyświetlić hasła lokalnego administratora za pomocą haseł lokalnego administratora za pomocą klap. Stacja robocza, w której lapy jest zainstalowane na jeden z następujących sposobów:
Metoda 1. Wyświetl hasło administratora lokalnego za pomocą interfejsu użytkownika lapów.
1. Otwórz aplikację UI UI na komputerze zarządzającym i wyszukaj nazwę maszyny src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-31.png”width=”562″height=”299″>
Metoda 2. Zobacz hasło lokalnego administratora za pomocą hasła komputera. OU, w którym włączyłeś okrążenia. 2. kliknij prawym przyciskiem myszy W obiekcie komputerowym chcesz zobaczyć hasło i wybrać Właściwości .
3. Wybierz edytor atrybutu i przewiń w dół, aby znaleźć „ MS-MCS-admpwd ” i „ MS-MCS-AdmpwDexpirationTime “.
* Informacje: MS-MCS-Admpwd Atrybut pokazuje hasło w prostym tekście. Atrybut MS-MCS-ADMPWExpirationTime pokazuje datę ważności jako liczbę interwałów 100-nanosekundowych, które upłynęły od 0 godziny 1 stycznia 1601 r., Zanie data/czas przechowywany. Czas jest zawsze przechowywany w średnim czasie Greenwich (GMT) w Active Directory. Jeśli chcesz go ręcznie przekonwertować, użyj tego polecenia:
w32tm/ntte 
Sondh 3. PowerShell.
Sondh 3. PowerShell. Ostatnim sposobem wyświetlania hasła lokalnego administratora jest podanie poniższego polecenia w PowerShell.*
get-admpwdpassword Computername
* (np. Aby wyświetlić hasło administratora na „HP-pC”, wydać to polecenie:
get-admpwdpassword hp-pc 