Sie können die Microsoft LAPS-Anwendung in Ihrer Umgebung installieren, wo Sie das Kennwort der lokalen Administratorkonten Ihrer "Client" und "Server" in Ihrer Domänenumgebung manuell oder automatisch ändern können, indem Sie den folgenden Link verwenden.
1. Runde LAPS Download und Installation
Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center
2. Runde Bereitstellung der LAPS-Anwendung auf Clientgeräten mit GPO
Nach der Installation der Anwendung auf dem DC müssen wir die Anwendung auch an die Computer verteilen, deren Passwort wir ändern werden. Aus diesem Grund öffnen wir zunächst eine Freigabe namens Apps auf dem Server, den wir für Sicherungsvorgänge verwenden, und kopieren die Installationsdatei hierher.
Die Installation der Anwendung auf den Computern kann auf Wunsch einzeln erfolgen, aber in großen Strukturen wird dies eine große Zeitverschwendung sein, wir werden unsere Anwendung über die Gruppenrichtlinienverwaltung auf unseren Computern verteilen und installieren. Da sich unsere Computer in der Struktur unter der Organisationseinheit befinden, erstellen wir unser Gruppenrichtlinienobjekt unter dieser Organisationseinheit. Durch die Auswahl eines neuen Gruppenrichtlinienobjekts erstellen wir eine neue Richtlinie namens LAPS.
Dann fahren wir mit der Computerkonfiguration / Softwareeinstellungen / Softwareinstallation, Neu / Paket fort.
Hier bittet er uns, die Installationsdatei anzuzeigen. Wir fahren fort, indem wir unsere Datei zeigen.
Wir fahren fort, indem wir auf dem Bildschirm Zugewiesen auswählen, auf dem angezeigt wird, wie die Installation stattfinden wird.
Unsere Politik hat sich erfolgreich etabliert.
Jetzt kommen wir zu einem unserer Computer und erhalten die Richtlinie mit dem Befehl gpupdate / force und starten dann unseren Computer neu. Wenn wir überprüfen, nachdem unsere Maschine eingeschaltet wurde, können wir sehen, dass die erfolgreiche Installation der LAPS-Anwendung abgeschlossen ist.
3. Gruppenrichtlinieneinstellungen
Nach diesen Operationen bereiten wir ein GPO auf dem AD für LAPS vor. Auf dem Bildschirm Gruppenrichtlinienverwaltung erstellen wir eine Richtlinie namens LAPS unter der Organisationseinheit. Nachdem wir unsere Richtlinie erstellt haben, kommen wir zu Computer Configiration/Administrative Templates/LAPS, indem wir Edit sagen. Hier klicken wir auf Lokale Admin-Passwortverwaltung aktivieren.
Auf dem Bildschirm, der angezeigt wird, machen wir unsere Richtlinie aktiviert und sagen Ok.
Dann kommen wir zum Bereich Kennworteinstellungen und setzen diese Einstellung auf Aktiviert, und dann legen wir die Kennwortrichtlinie fest.
Um nach Abschluss der Operationen zu überprüfen, nehmen wir die Richtlinie mit dem Befehl gpupdate/force als Anmeldung an einem Computer.
Vielen Dank für die im Artikel veröffentlichten Bilder und Beschreibungen.
4. PowerShell-Strukturierung der Schemaerweiterung
Öffnen Sie "PowerShell" auf Ihrem Active Directory-Server.
Import-Modul AdmPwd.PSUpdate-AdmPwdADSchema
5. Platz Schritte zum Autorisieren Ihres IT-Teams zum Verwalten von Kennwörtern für lokale Administratoren.
Lassen Sie uns eine "Sicherheitsgruppe" mit dem Namen "Helpdesk" in Active Directory erstellen. Lassen Sie uns das IT-Personal, das wir autorisieren möchten, in diese Gruppe werfen.
Öffnen Sie in der AD-Umgebung Power Shell.
Wenn die Mitglieder der Gruppe "Helpdesk", die Sie für Ihr IT-Team erstellen, die "Computerentitäten" verwalten, unter denen die Organisationseinheit steht, autorisieren wir sie mit dem folgenden Befehl.
Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals Helpdesk
HINWEIS: "LAPS" ist der Name der Organisationseinheit, in der sich meine Computer befinden. "Helpdesk" ist der Name der Sicherheitsgruppe, die ich für das IT-Personal erstellt habe, das ich delegieren werde.Sie müssen die Computerobjekte der Computer, unter denen Sie lokale Administratorkonten verwalten, mit dem folgenden Befehl autorisieren.
In unserem Build befinden sich Computer unter LAPS OU.
Set-AdmPwdComputerSelfPermission -OrgUnit LAPS
Alle Blog-Einträge von Reichtümern, plünderten die Stadt, Latinos, im Prozess, er verlor ein Trade Center komplett zuschreiben. Lassen Sie uns die erforderlichen Einschränkungen vornehmen, damit niemand außer Ihrem IT-Team die Kennwortinformationen von lokalen Administratorkonten sehen kann.
Identifizieren Sie autoritative:
Mit dem folgenden Befehl identifizieren wir die "Gruppe" oder "Benutzer", die berechtigt sind, die Kennwörter der Konten "Lokaler Administrator" anzuzeigen.
Import-Modul AdmPwd.PSFind-AdmPwdExtendedrights -identity LAPS | Format-Table (LAPS ist der Name des Befehls zum Bearbeiten der Organisationseinheit entsprechend Ihrer Umgebung)
Öffnen Sie "ADSI Edit" mit dem folgenden CMD-Befehl.
adsiedit. MscÖffnen Sie den Bildschirm "Eigenschaften", indem Sie den LAPS-Container mit der rechten Taste drücken.
HINWEIS: LAPS ist der Name der Organisationseinheit, in der sich Computerobjekte in unserer Struktur befinden.
Klicken Sie auf dem sich öffnenden Bildschirm auf unsere Schaltfläche "Sicherheit" und dann auf "Erweitert".
Wählen wir die Personen oder Gruppen aus, die das Passwort und die Änderungszeiten nicht in der richtigen Reihenfolge sehen sollen, und klicken Sie auf die Schaltfläche "Bearbeiten".
Deaktivieren Sie auf dem sich öffnenden Bildschirm die Funktion Alle erweiterten Rechte.
Alle Blog-Einträge von Reichtümern, plünderten die Stadt, Latinos, im Prozess, er verlor ein Trade Center komplett zuschreiben. Steuerung
Klicken Sie auf einem Gerät, das Mitglied des Active Directory-Servers oder der Active Directory-Domäne ist, auf dem das LAPS-Programm installiert ist und auf dem die LAPS-Anwendung installiert ist, mit UMSCHALT + RECHTSKLICK auf das Symbol der LAPS-Anwendung und klicken Sie auf "Mit einem anderen Benutzer öffnen". Nachdem Sie sich mit den IT-Teammitarbeitern oder Domain-Admin-Konten angemeldet haben, die wir hier autorisieren, können Sie das Datum "Passwort" und "Läuft ab" sehen, wenn Sie den Computernamen des Geräts eingeben, auf dem Sie das lokale Admin-Passwort und "Suchen " erfahren möchten.
Das Kennwort und das abgelaufene Datum im AD befinden sich unter dem Attribut-Editor von Computern.
