目录
一、PowerShell策略设置
二、引入AdmPwd.PS模块
三、查看密码
四、强制重置密码
文章主要介绍在部署了LAPS后,怎么使用PowerShell查看和管理域内本地管理员密码。需要注意的是被操作的电脑需要加域,所有操作都在域内环境下进行。
LAPS介绍
LAPS允许您在加入域的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。这些密码集中存储在Active Directory中,并且仅限使用ACL的授权用户使用。使用Kerberos v5和AES从客户端到服务器的传输密码受到保护。
这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。
一、PowerShell策略设置
查看shell的当前执行策略
get-ExecutionPolicy更改设置,命令行输入set-ExecutionPolicy RemoteSigned回车,然后输入Y回车即可。
set-executionpolicy RemoteSigned验证一下是否成功了:输入get-ExecutionPolicy,
系统回复Restricted,表示状态是禁止的。
若是提示了 RemoteSigned 就代表成功了。
二、引入AdmPwd.PS模块
打开PowerShell窗口,并确保已加载AdmPwd.PS模块。如果没有请使用下面命令引入:
Import-Module AdmPwd.PS
三、查看密码
使用命令查看密码
Get-AdmPwdPassword -ComputerName 电脑名字
四、强制重置密码
如果需要强制更改密码,可以使用密码使用Reset-AdmPwdPassword强制重置本地管理员密码。
使用命令强制重置密码
Reset-AdmPwdPassword -ComputerName 电脑名字
添加-WhenEffective允许您控制密码在计算机上更新(过期)的日期和时间::
Reset-AdmPwdPassword -ComputerName 电脑名字 -WhenEffective "12.26.2022 18:00"
