.Single.post-Author, ผู้แต่ง : Konstantinos Tsoukalas, อัปเดตล่าสุด : 2 เมษายน, 2025
บทความนี้มีคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการติดตั้งและกำหนดค่ารอบ Microsoft
โซลูชันรหัสผ่านผู้ดูแลระบบท้องถิ่นของ Microsoft (LAPS) เป็นคุณสมบัติความปลอดภัยที่ให้วิธีการจัดการรหัสผ่านผู้ดูแลระบบท้องถิ่นของคอมพิวเตอร์ที่เข้าร่วมโดเมนในลักษณะที่ปลอดภัยและเป็นไปโดยอัตโนมัติ มันระบุช่องว่างด้านความปลอดภัยโดยเฉพาะในสภาพแวดล้อมขององค์กรที่รหัสผ่านผู้ดูแลระบบท้องถิ่นเหมือนกันในคอมพิวเตอร์หลายเครื่องทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ทุกเครื่องในเครือข่ายได้ง่ายขึ้นหากพวกเขาประนีประนอมกับคอมพิวเตอร์เครื่องเดียว รหัสผ่านใหม่
สำหรับผู้ดูแลระบบเพื่อลดความซับซ้อนของการจัดการรหัสผ่าน
วิธีการติดตั้งและกำหนดค่าโซลูชันรหัสผ่านผู้ดูแลระบบท้องถิ่นของ Microsoft (LAPS)
ขั้นตอนที่ 1 สร้าง OU ใหม่ด้วยคอมพิวเตอร์ทั้งหมดที่คุณต้องการใช้รอบ (ขั้นตอนทางเลือก).*
* หมายเหตุ: สำหรับรอบการทำงานคุณต้องมีหน่วยองค์กร (OU) พร้อมเวิร์กสเตชันทั้งหมด (ไคลเอนต์) ที่คุณต้องการจัดการรหัสผ่านผู้ดูแลระบบท้องถิ่นโดยใช้ LAPS ดังนั้นหากคุณไม่มี OU สำหรับงานนี้ไปข้างหน้าและสร้าง OU ใหม่ให้เพิ่มเวิร์กสเตชันทั้งหมดที่คุณต้องการใช้รอบ ในการทำเช่นนั้น:
1. เปิด ผู้ใช้ Active Directory และคอมพิวเตอร์
2 คลิกขวา บนโดเมน ของคุณ และเลือก ใหม่ > หน่วยองค์กร
3. ให้ชื่อ OU ใหม่ (เช่น”เวิร์กสเตชัน”) และคลิก ตกลง
4. ตอนนี้เปิด คอมพิวเตอร์ วัตถุให้เลือกคอมพิวเตอร์ทั้งหมด (เวิร์กสเตชัน) ที่คุณต้องการใช้รอบและคลิก ย้าย
5 src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-16.png”ความกว้าง=”682″ความสูง=”537″>
src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-17.png”ความกว้าง=”682″ความสูง=”355″>
ขั้นตอนที่ 2 คอมพิวเตอร์การจัดการ*
* หมายเหตุ: คอมพิวเตอร์การจัดการสามารถเป็นตัวควบคุมโดเมนหรือคอมพิวเตอร์อื่น ๆ ที่เข้าร่วมกับโดเมน (ในบทความนี้เราติดตั้งรอบบนตัวควบคุมโดเมนเซิร์ฟเวอร์ 2016)
1. ซอฟต์แวร์ดาวน์โหลด LAPS ( Laps.x64.msi) จากลิงค์ด้านล่าง:
ดับเบิลคลิก ที่ laps.x64.msi เพื่อเริ่มการติดตั้งและเลือก ถัดไป ที่หน้าจอแรก จากนั้น ยอมรับ ข้อตกลงใบอนุญาตและคลิก ถัดไป อีกครั้ง
3. ที่หน้าจอถัดไปคลิกที่ลูกศรที่ด้านซ้ายของเครื่องมือจัดการ และเลือก คุณสมบัติทั้งหมดจะถูกติดตั้งบนฮาร์ดไดรฟ์ท้องถิ่น จากนั้นคลิก ถัดไป จากนั้น ติดตั้ง เพื่อติดตั้ง LAPS บนคอมพิวเตอร์การจัดการ
ขั้นตอนที่ 4 แอตทริบิวต์ในวัตถุ”คอมพิวเตอร์”ใน Active Directory:
MS-MCS-ADMPWD : แอตทริบิวต์นี้จะแสดงรหัสผ่านผู้ดูแลระบบของคอมพิวเตอร์ในข้อความที่ชัดเจนเมื่อการตั้งค่า LAPS เสร็จสมบูรณ์ MS-MCS-ADMPWDExpirationTime : แอตทริบิวต์นี้จะแสดงวัน/เวลาหมดอายุของรหัสผ่าน
1. เพื่อเพิ่มแอตทริบิวต์ข้างต้นให้เปิด PowerShell บนตัวควบคุมโดเมนของคุณและให้คำสั่งสองคำต่อไปนี้:
การนำเข้าโมดูล admpwd.ps update-admpwdadschema 
2. โดยไม่ต้องปิดหน้าต่าง Powershell *
* หมายเหตุ: หากคุณปิดหน้าต่าง PowerShell และเปิดหน้าต่างใหม่คุณอาจต้องเรียกใช้”การนำเข้าโมดูล admpwd.ps”อีกครั้ง
ขั้นตอนที่ 5 การตั้งค่าการใช้งานเวิร์กสเตชัน คอมพิวเตอร์การจัดการรอบ ในการทำเช่นนี้ให้ออกคำสั่งต่อไปนี้ใน PowerShell เพื่อให้สิทธิ์แก่ OU ที่คุณต้องการใช้รอบ (เช่น”เวิร์กสเตชัน”ในตัวอย่างนี้)*
set-admpwdComputermission-orgunit”การใช้งาน”src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-22.png”ความกว้าง=”682″ความสูง=”141″>
นโยบายกลุ่มใหม่สำหรับการตั้งค่า LAPS
1. เปิด ตัวจัดการเซิร์ฟเวอร์ และจากเครื่องมือ จากนั้นเปิดการจัดการนโยบายกลุ่ม
2 ในคอนโซลการจัดการนโยบายกลุ่มขยายโดเมนและภายใต้โดเมนของคุณ คลิกขวา บน OU ที่มีคอมพิวเตอร์สำหรับรอบและเลือก สร้าง GPO ในโดเมนนี้และเชื่อมโยงที่นี่…
src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-24.png”ความกว้าง=”682″ความสูง=”425″>
src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-25.png”ความกว้าง=”682″ความสูง=”570″>
Laps
6a เปิด เปิดใช้งานนโยบายการจัดการรหัสผ่านผู้ดูแลระบบในพื้นที่
เปิดใช้งาน และคลิก ตกลง
นโยบาย
(เวลาหมดอายุ) เมื่อเสร็จสิ้นคลิก ตกลง
* หมายเหตุ: ในกรณีที่คุณได้ตั้งค่าบัญชีผู้ดูแลระบบท้องถิ่นที่กำหนดเองบนเวิร์กสเตชัน (เช่นชื่อ”localAdmin”) และคุณต้องการใช้บัญชีนั้นแทน”ผู้ดูแลระบบ”src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-30.png”ความกว้าง=”622″ความสูง=”577″>
เวิร์กสเตชันที่ติดตั้งรอบด้วยวิธีใดวิธีหนึ่งต่อไปนี้:
วิธีการ 1. ดูรหัสผ่านผู้ดูแลระบบท้องถิ่นโดยใช้ LAPS UI.
1. เปิดแอปพลิเคชัน LAPS UI บนคอมพิวเตอร์การจัดการและค้นหาชื่อเครื่องที่คุณต้องการดูรหัสผ่านของผู้ดูแลระบบท้องถิ่น src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-31.png”ความกว้าง=”562″ความสูง=”299″>
OU ที่คุณเปิดใช้งานรอบ 2. คลิกขวา บนวัตถุคอมพิวเตอร์ที่คุณต้องการดูรหัสผ่านและเลือก คุณสมบัติ
3. เลือกแท็บแอตทริบิวต์ “ MS-MCS-ADMPWDExpirationTime “ค่า
* ข้อมูล: MS-MCS-ADMPWD แอตทริบิวต์แสดงรหัสผ่านในข้อความธรรมดา แอตทริบิวต์ MS-MCS-ADMPWDexpiration แสดงวันหมดอายุเป็นจำนวนช่วงเวลา 100-นาโนวินาทีที่ผ่านไปตั้งแต่ 0 ชั่วโมงในวันที่ 1 มกราคม 1601 จนกว่าจะถึงวันที่/เวลาที่จัดเก็บ เวลาจะถูกเก็บไว้เสมอใน Greenwich Mean Time (GMT) ใน Active Directory หากคุณต้องการแปลงด้วยตนเองให้ใช้คำสั่งนี้:
w32tm/ntte <หมายเลขที่คุณต้องการแปลง> 
