AD 域环镜 本地管理员密码解决方案(LAPS)部署

news2025/1/16 18:48:50

前言:

我们知道window10装好后,默认本地管理员账号Administrator是关闭的,通过组策略启用本地管理员账号没有问题,具体方法在下面,但是由于微软《MS14-025:组策略首选项中的漏洞可能允许特权提升:2014 年 5 月 13 日 - Microsoft 支持》中组策略漏洞的公告后,通过组策略修改密码就不能用了。

1、启用本地管理员账号

2、修改密码和确认密码功能变成灰色,不能使用 !

LAPS介绍

LAPS允许您在加入域的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。这些密码集中存储在Active Directory中,并且仅限使用ACL的授权用户使用。

这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免攻击者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。

官方下载地址:Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center

安装

1、在域控上安装LAPS.x64,点击下一步安装,第一项不用安装

2、安装完成后,通过PowerShell加载LAPS模块,扩展AD架构

# 导入 LAPS 模块
PS C:\Users\Administrator> Import-Module AdmPwd.PS


# 返回 Success 表示成功
PS C:\Users\Administrator> Update-AdmPwdADSchema

Operation            DistinguishedName                                                 Status
---------            -----------------                                                 ------
AddSchemaAttribute   cn=ms-Mcs-AdmPwdExpirationTime,CN=Schema,CN=Configuration,DC=m... Success
AddSchemaAttribute   cn=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=msh,DC=local       Success
ModifySchemaClass    cn=computer,CN=Schema,CN=Configuration,DC=msh,DC=local            Success

3、查看本地域环境的架构

(1)本地2台电脑目前是在 Workstation 这个 OU 下面

(2)我们通过打开 ADSI Edit 验证此架构扩展的结果,在属性列表中,我们应该有两个新条目:ms-Mcs-AdmPwd(密码为明文)和ms-Mcs-AdmPwdExpirationTime(密码到期时)

(3)接着设置这个OU权限,以便里面的所有计算机有权限写入密码

Set-AdmPwdComputerSelfPermission -OrgUnit Workstation

(4)你也可以通过下面命令查看哪些用户和组有权限进行查看

Find-AdmPwdExtendedRights -Identity "Workstation"

# 默认 Domain Admins 是有权限的
PS C:\Users\Administrator> Find-AdmPwdExtendedRights -Identity "Workstation"

ObjectDN                                      ExtendedRightHolders
--------                                      --------------------
OU=Workstation,OU=SHA,DC=msh,DC=local         {NT AUTHORITY\SYSTEM, MSH\Domain Admins}

(5)你可以指定哪些用户或组有权限

Set-AdmPwdResetPasswordPermission -OrgUnit Workstation -AllowedPrincipals 用户或组

4、创建GPO

在 Workstation 这个 OU 下面创建 LAPS 

 

(1)进入到 计算机配置>策略>管理模板>LAPS

(2)设置本地管理员密码规则

(3)启用本地管理员密码管理 

(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。部署方法选择 "已分配",让客户端开机自动安装,具体这程这里不做详解

 

5、客户端生效后,我们查看已成功安装

 6、如何查看密码

(1)通过 PowerShell

# 通过电脑名查看
PS C:\Users\Administrator> Get-AdmPwdPassword -ComputerName lishi-pc

ComputerName         DistinguishedName                             Password           ExpirationTimestamp
------------         -----------------                             --------           -------------------
LISHI-PC             CN=LISHI-PC,OU=Workstation,OU=SHA,DC=msh,D... /Ro}d8q3           6/7/2023 9:57:04 AM

(2)通过 LAPS UI

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/501164.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

06-引入SpringSecurity 尚筹网

06-引入SpringSecurity 尚筹网

SpringSecurity 框架用法简介 用户登录系统时我们协助 SpringSecurity 把用户对应的角色、权限组装好,同时把各个资源所要求的权限信息设定好,剩下的“登录验证”、“权限验证”等等工作都交给SpringSecurity。 权限管理过程中的相关概念 主体 英文单…
阅读更多...
【源码解析】Spring Cloud Gateway使用RedisRateLimiter实现限流

【源码解析】Spring Cloud Gateway使用RedisRateLimiter实现限流

实现方案 在gateway项目中引入依赖 <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-gateway</artifactId> </dependency><dependency><groupId>org.springframework.boot</g…
阅读更多...
3BHB003154R0101确定每个控制器将如何知道设备地址、识别发给它的消息

3BHB003154R0101确定每个控制器将如何知道设备地址、识别发给它的消息

3BHB003154R0101确定每个控制器将如何知道设备地址、识别发给它的消息 DNP3 协议用于各种 SCADA 系统组件之间的通信。这些系统组件包括 SCADA 主站或HMI、远程终端单元和智能电子设备。SCADA 系统的操作员可以在其操作中监控 DNP3 协议&#xff0c;以提高系统可靠性。这将通过…
阅读更多...
java版深圳 工程管理系统软件 自主研发,工程行业适用 软件源码

java版深圳 工程管理系统软件 自主研发,工程行业适用 软件源码

Java版工程项目管理系统 Spring CloudSpring BootMybatisVueElementUI前后端分离 功能清单如下&#xff1a; 首页 工作台&#xff1a;待办工作、消息通知、预警信息&#xff0c;点击可进入相应的列表 项目进度图表&#xff1a;选择&#xff08;总体或单个&#xff09;项目显示…
阅读更多...
Redis 常见缓存问题与解决方案

Redis 常见缓存问题与解决方案

文章目录 1. 缓存穿透解决方法 2. 缓存击穿解决方法 3. 缓存雪崩解决方法 在 redis 的应用场景中&#xff0c;需要考虑缓存在某些场景下可能出现的问题&#xff1a; 缓存穿透 缓存击穿 缓存雪崩 以下缓存问题的讨论都是基于以下应用架构讨论的&#xff1a; 1. 缓存穿透 对应…
阅读更多...
Python 中的字典顺序

Python 中的字典顺序

文章目录 Python 中的字典顺序在 Python 中将数字列表按词典顺序排序 我们将介绍 Python 中的字典顺序。 我们还将通过示例讨论实现词典顺序的不同方法。 Python 中的字典顺序 在数学中&#xff0c;词典顺序或词典顺序是对按字母顺序排列的元素列表或元素数组进行排序的过程。…
阅读更多...
Java学习之Swing图形界面

Java学习之Swing图形界面

Java提供的Swing组件众多&#xff0c;下面列举其中的几种&#xff0c;本章主要讲解顶层容器&#xff0c;其余容器在下面几章会做讲解。 1、顶层容器 1&#xff09;顶层容器就是不包含在其他容器中的容器&#xff0c;Swing中常见的顶层容器有JFrame&#xff0c;JFrame被称为窗口…
阅读更多...
分享78个C 源码,总有一款适合您

分享78个C 源码,总有一款适合您

C 源码 分享78个C 源码&#xff0c;总有一款适合您 源码下载链接&#xff1a;https://pan.baidu.com/s/1_vslGj8XQUGbUhQFnKZg4g?pwdoe87 提取码&#xff1a;oe87 OpenCV计算机视觉库 v4.7.0 OpenCV计算机视觉库 v3.4.19 Photoflare图像编辑器v1.6.12 开源向量数据库mil…
阅读更多...
Lecture 13(Extra Material):PPO

Lecture 13(Extra Material):PPO

On-policy v.s.Off-policy On-policy: The agent learned and the agent interacting with the environment is the same.Off-policy: The agent learned and the agent interacting with the environment is different. Issue of Importance Sampling: 尽管q可以是任意的&am…
阅读更多...
day43—编程题

day43—编程题

文章目录 1.第一题1.1题目1.2思路1.3解题 2.第二题2.1题目2.2思路2.3解题 1.第一题 1.1题目 描述&#xff1a; 输入两个整数 n 和 m&#xff0c;从数列1&#xff0c;2&#xff0c;3…n 中随意取几个数,使其和等于 m ,要求将其中所有的可能组合列出来 输入描述: 每个测试输入包…
阅读更多...
Java 基础进阶篇(十二)—— Stream 流常用方法总结

Java 基础进阶篇(十二)—— Stream 流常用方法总结

文章目录 一、Stream流概述二、获取Stream流2.1 集合获取 Stream 流2.2 数组获取 Stream 流 三、中间方法四、终结方法五、Stream流的综合应用六、收集Stream流 一、Stream流概述 Stream 流是在 Java8 中&#xff0c;得益于 Lambda 所带来的函数式编程&#xff0c; 引入了一个…
阅读更多...
前端技术——css

前端技术——css

1.CSS的引入 【1】为什么要学习CSS? 如果只用HEML画页面的话--->这个页面就是页面上需要的元素罗列起来&#xff0c;但是页面效果很差&#xff0c;不好看&#xff0c;为了让页面好看&#xff0c;为了修饰页面。所以我们需要用到CSS。 CSS的作用&#xff1a;修饰HTML页面…
阅读更多...
总结844

总结844

学习目标&#xff1a; 月目标&#xff1a;5月&#xff08;张宇强化前10讲&#xff0c;背诵15篇短文&#xff0c;熟词僻义300词基础词&#xff09; 周目标&#xff1a;张宇强化前3讲并完成相应的习题并记录&#xff0c;英语背3篇文章并回诵 每日必复习&#xff08;5分钟&#…
阅读更多...
密码学:流密码.(对称密码)

密码学:流密码.(对称密码)

密码学&#xff1a;流密码. 流密码(Stream Cipher)属于对称密码算法中的一种&#xff0c;其基本特征是加解密双方使用一串与明文长度相同的密钥流&#xff0c;与明文流组合来进行加解密密钥流通常是由某一确定状态的伪随机数发生器所产生的比特流&#xff0c;双方将伪随机数生…
阅读更多...
数据结构-二叉树遍历线索二叉树

数据结构-二叉树遍历线索二叉树

目录 一、二叉树的定义 *几种特殊的二叉树 *二、二叉树的性质 三、二叉树的存储结构 *四、二叉树的遍历 *4.1先序遍历 * 4.2中序遍历 * 4.3后序遍历 非递归算法遍历 *4.4层序遍历 *五、遍历序列构造二叉树 六、线索二叉树 6.1逻辑结构: * 6.2构造线索二叉树 一、二…
阅读更多...
Mybatis Plus | 快速入门

Mybatis Plus | 快速入门

&#x1f497;wei_shuo的个人主页 &#x1f4ab;wei_shuo的学习社区 &#x1f310;Hello World &#xff01; Mybatis Plus MyBatis-Plus&#xff08;简称 MP&#xff09;是一个基于 MyBatis 的增强工具&#xff0c;它对 Mybatis 的基础功能进行了增强&#xff0c;但未做任何改…
阅读更多...
Qt 多语言界面设计概述

Qt 多语言界面设计概述

1、多语言界面设计概述 有些软件需要开发多语言界面版本&#xff0c;如中文版和英文版&#xff0c;并且在软件里可以方便地切换界面语言。Qt 为多语言界面提供了很好的支持&#xff0c;使用 Qt 的一些规则和工具&#xff0c;可以很方便地为应用程序开发提供多语言界面支持。 …
阅读更多...
Shell脚本函数简介及运用(喜欢,适合,能在一起,是三码事)

Shell脚本函数简介及运用(喜欢,适合,能在一起,是三码事)

一、函数的作用 语句块定义成函数约等于别名&#xff0c;定义函数&#xff0c;再引用函数 封装的可重复利用的具有特定功能的代码 二、定义函数 定义函数就是只将一段实现某个任务的命令序列封装进一个函数&#xff0c;便于使用和后期维护。 function 函数名() { 命令序列 }…
阅读更多...
快速原型设计工具(Axure)的安装、汉化

快速原型设计工具(Axure)的安装、汉化

〇、一些名词解释&#xff1a; 1. 草图 一般主要用于产品整理思路&#xff0c;寻找灵感&#xff0c;或者在产品团队内部互相讨论碰撞火花时使用。画 给自己看的&#xff0c;想怎么画就怎么画。 2. 低保真 打个比喻来说就像&#xff0c;用于“生产的图纸”&#xff0c;要简单易读…
阅读更多...
Postgres:Win/Linux环境安装及一键部署脚本

Postgres:Win/Linux环境安装及一键部署脚本

1.Win安装Postgres &#xff08;1&#xff09;下载安装包 &#xff08;2&#xff09;开始安装 修改安装目录 选择要安装的组件 data也就是库表及数据的.dba文件存放目录 密码设置 端口设置 next next 开始安装 安装完成&#xff0c;Stack Builder 根据需要选择是否安装。仅仅是…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023