Начало работы с Windows LAPS и Windows Server Active Directory

Узнайте, как приступить к работе с решением локального Администратор istrator (Windows LAPS) и Windows Server Active Directory. В этой статье описаны основные процедуры использования Windows LAPS для резервного копирования паролей в Windows Server Active Directory и их извлечения.

Требования к версии ОС контроллера домена и уровня функциональности домена

Если домен настроен ниже уровня функциональности домена 2016 (DFL), вы не можете включить период шифрования паролей Windows LAPS. Без шифрования паролей клиенты могут быть настроены только для хранения паролей в виде прозрачного текста (защищенных списками управления доступом Active Directory), а контроллеры домена не могут быть настроены для управления локальной учетной записью DSRM.

Когда домен достигнет 2016 DFL, вы можете включить шифрование паролей Windows LAPS. Однако если вы по-прежнему работаете с контроллерами домена WS2016, эти контроллеры домена WS2016 не поддерживают Windows LAPS и поэтому не могут использовать функцию управления учетными записями DSRM.

Это нормально использовать поддерживаемые операционные системы старше WS2016 на контроллерах домена, если вы знаете об этих ограничениях.

В следующей таблице приведены различные поддерживаемые или не поддерживаемые сценарии:

Сведения о домене	Поддерживается хранилище паролей с четким текстом	Поддерживается зашифрованное хранилище паролей (для клиентов, присоединенных к домену)	Поддерживается управление учетными записями DSRM (для DCs)
Ниже 2016 DFL	Да	No	No
DFL 2016 с одним или несколькими контроллерами домена WS2016	Да	Да	Да, но только для DCS WS2019 и более поздних версий
DFL 2016 с только WS2019 и более поздними контроллерами домена	Да	Да	Да

Корпорация Майкрософт настоятельно рекомендует обновить клиентов до последней доступной операционной системы на клиентах, серверах и контроллерах домена, чтобы воспользоваться новейшими функциями и улучшениями безопасности.

Обновление схемы Windows Server Active Directory

Перед использованием Windows Server Active Directory необходимо обновить схему Windows Server Active Directory. Это действие выполняется с помощью командлета Update-LapsADSchema . Это одноразовая операция для всего леса. Эту операцию можно выполнить на контроллере домена Windows Server 2022 или Windows Server 2019, обновленном с помощью Windows LAPS, но также можно выполнять на контроллере, отличном от домена, если он поддерживает модуль Windows LAPS PowerShell.

PS C:\> Update-LapsADSchema

Совет

-Verbose Передайте параметр, чтобы просмотреть подробные сведения о том, что Update-LapsADSchema выполняет командлет (или любой другой командлет в модуле LAPS PowerShell).

Предоставьте управляемому устройству разрешение на обновление пароля

Управляемое устройство должно быть предоставлено разрешение на обновление пароля. Это действие выполняется путем задания наследуемых разрешений в подразделении (OU) устройства. Используется Set-LapsADComputerSelfPermission для этой цели, например:

PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps

Name    DistinguishedName
----    -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com

Совет

Если вы предпочитаете задать наследуемые разрешения в корневом каталоге домена, это возможно, указав весь корневой каталог домена с помощью синтаксиса DN. Например, укажите "DC=laps,DC=com" для параметра -Identity.

Запрос разрешений расширенных прав

Некоторые пользователи или группы уже могут быть предоставлены разрешения на расширенные права на подразделение управляемого устройства. Это разрешение проблематично, так как оно предоставляет возможность читать конфиденциальные атрибуты (все атрибуты пароля Windows LAPS помечены как конфиденциальные). Один из способов проверка, чтобы узнать, кто предоставляет эти разрешения, — с помощью командлетаFind-LapsADExtendedRights. Например:

PS C:\> Find-LapsADExtendedRights -Identity newlaps

ObjectDN                  ExtendedRightHolders
--------                  --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}

В выходных данных в этом примере у доверенных сущностей (системные и доменные Администратор) есть права. Никаких других действий не требуется.

Настройка политики устройств

Выполните несколько действий, чтобы настроить политику устройства.

Выбор механизма развертывания политики

Первым шагом является выбор способа применения политики к устройствам.

Большинство сред используют групповую политику Windows LAPS для развертывания необходимых параметров на устройствах с присоединенным к домену Windows Server Active Directory.

Если ваши устройства также присоединены к идентификатору Microsoft Entra ID, вы можете развернуть политику с помощью Microsoft Intune с поставщиком службы конфигурации Windows LAPS (CSP).

Настройка определенных политик

Как минимум, необходимо настроить параметр BackupDirectory на значение 2 (пароли резервного копирования в Windows Server Active Directory).

Если параметр Администратор istratorAccountName не настроен, windows LAPS по умолчанию используется для управления встроенной учетной записью локального администратора по умолчанию. Эта встроенная учетная запись автоматически идентифицируется с помощью известного относительного идентификатора (RID) и никогда не должна быть идентифицирована с помощью его имени. Имя встроенной учетной записи администратора зависит от языкового стандарта по умолчанию устройства.

Если вы хотите настроить пользовательскую учетную запись локального администратора, необходимо настроить параметр Администратор istratorAccountName с именем этой учетной записи.

Внимание

Если вы настроите Windows LAPS для управления пользовательской учетной записью локального администратора, необходимо убедиться, что эта учетная запись создана. Windows LAPS не создает учетную запись. Для создания учетной записи рекомендуется использовать CSP RestrictedGroups.

Вы можете настроить другие параметры, такие как PasswordLength, по мере необходимости для вашей организации.

Если вы не настроите заданный параметр, применяется значение по умолчанию . Обязательно понять эти значения по умолчанию. Например, если вы включаете шифрование паролей, но не настраиваете параметр ADPasswordEncryptionPrincipal, пароль шифруется таким образом, чтобы только Администратор домена могли расшифровать его. Вы можете настроить ADPasswordEncryptionPrincipal с другим параметром, если вы хотите, чтобы Администратор, отличные от домена, могли расшифровывать.

Обновление пароля в Windows Server Active Directory

Windows LAPS обрабатывает текущую активную политику периодически (каждый час) и реагирует на уведомления об изменении групповой политики. Он отвечает на основе политики и уведомлений об изменениях.

Чтобы убедиться, что пароль был успешно обновлен в Windows Server Active Directory, просмотрите журнал событий для события 10018:

Чтобы избежать ожидания после применения политики, можно запустить Invoke-LapsPolicyProcessing командлет PowerShell.

Получение пароля из Windows Server Active Directory

Get-LapsADPassword Используйте командлет для получения паролей из Windows Server Active Directory. Например:

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText

ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account             : Administrator
Password            : Zlh+lzC[0e0/VU
PasswordUpdateTime  : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : LAPS\Domain Admins

Результат выходных данных указывает, что шифрование паролей включено (см. раздел Source). Для шифрования паролей требуется, чтобы домен был настроен для уровня функциональности домена Windows Server 2016 или более поздней версии.

Смена пароля

Windows LAPS считывает время истечения срока действия пароля из Windows Server Active Directory во время каждого цикла обработки политики. Если срок действия пароля истек, создается и сохраняется новый пароль немедленно.

В некоторых ситуациях (например, после нарушения безопасности или для нерегламентированного тестирования) может потребоваться повернуть пароль рано. Чтобы вручную принудительно изменить пароль, можно использовать Reset-LapsPassword командлет.

С помощью командлета можно задать запланированное Set-LapsADPasswordExpirationTime время истечения срока действия пароля, хранящееся в Windows Server Active Directory. Например:

PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2

DistinguishedName                           Status
-----------------                           ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset

При следующем пробуждении Windows LAPS для обработки текущей политики отображается измененное время истечения срока действия пароля и сменяет пароль. Если вы не хотите ждать, можно запустить Invoke-LapsPolicyProcessing командлет.

Вы можете использовать Reset-LapsPassword командлет для локальной принудительной смены пароля.

См. также

• Знакомство с решением для локального Администратор istrator password solution с идентификатором Microsoft Entra
• Решение для пароля локального Администратор istrator Windows в идентификаторе Microsoft Entra
• CSP с ограниченными группами
• Microsoft Intune
• Поддержка Microsoft Intune для Windows LAPS
• Windows LAPS CSP
• Руководство по устранению неполадок Windows LAPS

Следующие шаги

• Настройка параметров политики Windows LAPS
• Использование журналов событий Windows LAPS
• Использование командлетов Windows LAPS PowerShell
• Основные понятия в Windows LAPS