.Single.Post-Author, författare : Konstantinos Tsoukalas, Senast uppdaterade : 2 april 2025
Den här artikeln innehåller steg-för-steg-instruktioner om hur du installerar och konfigurerar Microsoft Laps på din Active Directory-domänmiljö.
Microsofts lokala administratörslösenordslösning (LAPS) är en säkerhetsfunktion som ger ett sätt att hantera de lokala administratörslösenorden för domän-förenade datorer på ett säkert, automatiserat sätt. It specifically addresses a security gap in corporate environments where the local administrator password is the same on multiple computers, making it easier for attackers to gain access to all computers on the network if they compromise one computer.
How LAPS works?
On each domain-joined computer (Client-side), a new GPO Extension is installed that is responsible for generating a unique local administrator password, and updating Active Directory with the new password.
On the Active Directory, the directory schema is extended to store the local administrator’s password from each domain-joined computer, makes it easier for IT Administratörer för att förenkla lösenordshanteringen.
Hur man installerar och konfigurerar Microsofts lokala administratörslösenordslösning (LAPS).
Steg 1. Skapa en ny OU med alla datorer du vill använda varv. (Valfritt steg).*
* Obs! För att varv ska fungera måste du ha en organisationsenhet (OU) med alla arbetsstationer (klienter) som du vill hantera deras lokala administratörslösenord med varv. Så om du inte har en OU för den här uppgiften, gå vidare och skapa en ny OU, lägg sedan till alla de arbetsstationer du vill använda varv. För att göra det:
1. Öppna Active Directory-användare och datorer.
2. Högerklicka på din domän och välj ny organisationsenhet.
3. ge det nya ou ett namn (t.ex.”Workstations”) och klicka på ok.
4. nu öppna datorer objekt, välj alla datorer (arbetsstationer) som du vill använda varv och klicka på flytta.
6. i slutet du bör ha alla arbeten med att hantera med laps på de nya. src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-17.png”width=”682″höjd=”355″>
Steg 2. installera microsoft laps på management. hanteringsdator.*
* Obs: Hanteringsdatorn kan vara antingen domänkontrollanten eller någon annan dator som är förenad med domänen. (I den här artikeln installerar vi varv på en server 2016-domänkontroll)
1. Ladda ner LAPS-programvara ( laps.x64.msi) från länken nedan:
2. Dubbelklicka på laps.x64.msi för att starta installationen och välja nästa vid första skärmen. Sedan acceptera licensavtalet och klicka på Nästa igen.
3. Klicka på Pilen till vänster till vänster om hanteringsverktyg och välj hela funktionen kommer att installeras på lokal hårddisk. Klicka sedan på nästa och sedan install för att installera varv på hanteringsdatorn.
Steg 4. Modify Active Directory Schema.
nu, på din DOMAIN CONTRUTION OCH MODIFIERA SCHEMA AV TILL TILL TILL TILL TILL TILL TIE FINE SCHEAME FINNE FINNE SCHEAME FINNE SCHEAME FINNE FAESIME SCHEAME SCHEAME SCHEAME SCHEAME I”Computers”-objekt i Active Directory:
MS-MCS-ADMPWD : Detta attribut visar datorns administratörslösenord i tydlig text när LAPS-inställningen är klar. MS-MCS-ADMPWDEXPirationTime : Detta attribut visar lösenordets utgångsdatum/tid.
1. För att lägga till ovanstående attribut, öppna PowerShell på din domänkontroller och ge följande två kommandon:
importmodul adpwd.ps uppdatering-admpwdadschema 
2. utan att stänga powershell-fönstret, fortsätt till nästa steg. *
* Note: If you close the PowerShell window and open a new one, you may need to run”Import-module AdmPwd.PS”again.
Step 5. Set Workstations Permissions for LAPS.
The next step in the LAPS setup, is to give the workstations (clients) the required permissions to update the password and timestamp of their own managed local administrator password to LAPS Management-datorn. To do this, issue the following command in PowerShell to grant permissions to the OU you want to use LAPS (e.g. the”Workstations”OU in this example).*
Set-AdmPwdComputerSelfPermission-OrgUnit”Workstations”
* Note: In the above example, replace”Workstations”with the OU name you want to use LAPS.
steg 6. Skapa en grupppolicy för laps. Grupppolicy för LAPS-inställningar.
1. Öppna serverhanterare och från verktygen menyn och öppna sedan grupppolicyhantering.
2. I grupppolicyhanteringskonsol, expandera domäner och under din domän, högerklicka på OU som innehåller datorer för varv och välj Skapa en GPO i denna domän och länka den här…
3. ge ett igenkännande namn för den nya policyn (e.g.”laps och Claps
4. Now right-click > Edit the new GPO.
7b. (utgångstid). När du är klar klickar du på ok.
8. Använd det vanliga lokala inbyggda administratören”administratör”med varv.*
* Obs! Om du har ställt in ett anpassat lokalt administratörskonto på arbetsstationer (t.ex. med namnet”LocalAdmin”) och du vill använda det kontot istället för”administratör”med varv, sedan aaable det hur man visar de lokala administratörens lösenord med hjälp av förvar. Arbetsstation där varv installeras på ett av följande sätt:
Metod 1. Visa lokalt administratörslösenord med hjälp av varv ui.
1. Öppna varv-UI-applikationen på hanteringsdatorn och sök efter namnet på maskinen du vill visa det lokala administratörslösenordet på och dess utgångsdatum. src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-31.png”width=”562″höjd=”299″>
metod 2. Visa lokala administratörer med hjälp av dators attribut. OU där du har aktiverat varv. 2. Right-click on the computer object you want to see the password and select Properties.
3. Select the Attribute Editor tab, and scroll down to find the”ms-Mcs-AdmPwd“&”ms-Mcs-AdmPwdExpirationTime“Värden.
* Info: MS-MCS-ADMPWD attributet visar lösenordet i vanlig text. Attributet ms-mcs-admpwdexpirationTime visar utgångsdatumet som antalet 100-nanosekundsintervall som har gått sedan 0 timmen den 1 januari 1601 till datum/tid som lagras. Tiden lagras alltid i Greenwich Mean Time (GMT) i Active Directory. Om du vill konvertera manuellt, använd det här kommandot:
w32tm/ntte Det sista sättet att se den lokala administratörens lösenord är genom att ge kommandot nedan i PowerShell.* Get-AdmpwdPassword ComputerName * Obs! I ovanstående kommando ersätt datornamn med namnet på PC att du vill se det lokala administratörens lösenord. (e.g. to view the admin password on”HP-PC”, issue this command: Get-AdmPwdPassword HP-PC That’s it! Let Jag vet om den här guiden har hjälpt dig genom att lämna din kommentar om din upplevelse. href=”https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=th767m5usm2tg”Target=”_ blank”> 
