如果你以前没有遇到过"圈"这个词，你可能会想知道它是什么。缩写是"本地管理员密码解决方案"。LAPS背后的想法是，它允许一个软件为本地管理员生成一个密码，然后将该密码以纯文本形式存储在activedirectory（AD）属性中。以明文形式存储密码听起来可能与所有良好的安全做法背道而驰，但由于LAP使用Active Directory权限，因此只有被授予查看权限的用户或具有权限查看权限的组中的用户才能看到这些密码。这里的主要用例显示，您可以将本地管理员密码免费提供给正在旅行并且可能在使用缓存帐户凭据登录时遇到问题的人。你可以让LAPS在下次想通过VPN与现场广告交谈时请求一个新密码。该工具对于具有自动登录功能的应用程序也很有用。最近发布的Windows管理中心就是一个很好的例子：要设置圈数，您需要做一些事情来使它正常工作。下载LAPS MSI文件架构更改安装LAPS组策略文件为组分配权限安装LAPS DLL下载圈数LAPS是一个MSI文件，你需要下载并安装到客户机上，你可以从微软下载它。架构更改LAPS需要向activedirectory添加两个属性：管理员密码和过期时间。更改架构需要安装LAPS PowerShell组件。完成后，启动PowerShell并运行以下命令：导入模块广告词更新admpwdaschema您需要在以架构管理员身份登录到网络时运行这些命令。LAPS组策略安装文件组策略需要安装到广告服务器上。*.admx文件放入"windows\policydefinitions"文件夹，*.adml文件放入"\windows\policydefinitions\[语言]"安装后，您应该会在GPMC中的计算机配置->策略->管理模板->LAPS下看到LAPS部分四个选项如下：密码设置-这允许您设置密码的复杂性和更改的频率。要管理的管理员帐户的名称-只有将管理员重命名为其他名称时才需要此项。如果不重命名本地管理员，请将其保留为"未配置"不允许密码过期时间超过策略要求-在某些情况下（例如，如果计算机是远程的），当密码过期时间到时，设备可能不在网络上。在这种情况下，LAPS将等待更改密码。如果您将此设置为FALSE，则无论密码是否可以与AD对话，都将更改密码。启用本地密码管理-打开组策略（GPO）并允许计算机将密码推入Active Directory。唯一需要从"未配置"更改的选项是"启用本地管理员密码管理"，它启用LAPS策略。如果没有这个设置，你就不能部署一个客户端。为组分配权限现在架构已经扩展，需要配置LAPS组策略并分配权限。我这样做的方法是设置一个组织直到（OU），在那里计算机将获得LAPS策略、只读组和读/写组。因为LAPS是一个推送过程（即，因为计算机上的LAPS客户端是设置密码并将其推送到AD的客户端），因此AD中计算机的自对象需要具有写入AD的权限。允许这种情况发生的PowerShell命令是：设置AdmPwdComputerSelfPermission-OrgUnit为了允许帮助台管理员读取LAPS设置的密码，我们需要允许一个组拥有该权限。我总是在广告中设置一个"LAPS密码读取器"组，因为它使将来的管理更容易。我用这一行PowerShell来实现：设置admpwdradePasswordPermission-OrgUnit-AllowedPrincipals我建立的最后一个组是"LAPS Admins"组。此组可以告诉LAPS在计算机下次连接到AD时重置密码。这也是由PowerShell设置的，设置密码的命令是：设置AdmPwdResetPasswordPermission-OrgUnit-AllowedPrincipals一旦设置了必要的权限，就可以将计算机移动到启用了LAPS的OU中，并在这些计算机上安装LAPS DLL。LAPS动态链接库既然已经设置了OU和权限，那么admpwd.dll文件需要安装到OU中分配了LAPS GPO的所有计算机上。有两种方法。首先，您可以简单地从LAPS MSI文件中选择admpwd dll扩展名。或者，您可以复制DLL(admpwd.dll)到路径上的某个位置，例如"%windir%\system32"，然后发出regsvr32.exeAdmPwd.dll命令。此过程也可以包含在GPO启动脚本或黄金映像中，以便将来部署。既然DLL已经安装在客户机上，gpupdate/force应该允许本地安装的DLL完成其工作，并将密码推入AD以备将来检索。检索密码很简单。如果有问题的用户至少有LAPS读取权限，则可以使用LAPS GUI检索密码。LAPS GUI可以通过运行安装过程并确保选择了"fatclientui"来安装。安装完成后，只需启动"LAPS UI"即可运行。启动后，只需输入需要本地管理员密码的计算机的名称，如果权限设置正确，您将看到显示的密码。如果没有，请检查是否正在应用GPO，以及是否为配置用户帐户的OU设置了权限。故障排除像任何事情一样，圈会引起一些怪癖。我看到的两个最常见的怪癖包括：拥有权限的员工无法查看密码，客户机没有按要求更新密码。首先要检查的是admpwd.dll文件已安装并注册。然后，用gpresult/r命令检查GPO是否正在应用于您试图更改本地管理员密码的服务器。我总是喜欢给LAPS这样的应用程序自己的GPO，以使此类故障排除更加容易。接下来，检查GPO是否已实际打开。LAPS的一个奇怪之处是完全可以设置GPO中的所有内容并将GPO分配给OU，但是除非启用"启用本地密码管理"选项，否则它不会执行任何操作。如果仍然存在问题，请再次检查已分配的权限。LAPS不会出错，但是LAPS GUI将只显示密码的空白，这可能意味着密码尚未设置或权限设置不正确。可以使用windows权限的"扩展属性"部分复查权限。您可以通过启动Active Directory用户和计算机->浏览到计算机对象->属性->安全->高级来访问此文件双击安全主体：向下滚动并检查是否勾选了Read ms Mcs AdmPwd和Write ms Mcs AdmPwd。总而言之，LAPS工作得很好，是部署到服务器，尤其是笔记本电脑之类的服务器的好工具。工作可能有点棘手，但时间投入肯定是值得的。查看更多通过我们的Active Directory 101网络研讨会了解广告的基本知识通过我们的Active Directory和虚拟化网络研讨会，学习如何通过PowerShell和UI管理广告通过我们的Active Directory和备份网络研讨会，学习如何备份、还原和自动部署ADVN:F[1.9.22_1171]评分：4.0/5（15票）Microsoft LAPS部署和配置指南，根据15个评分，5分中有4.0