隨著互聯網技術的不斷發(fā)現，信息安全在企業(yè)中的受重視度也越來越高，終端管理是信息安全中至關重要的一環(huán)，不可能要求終端用戶和服務器管理員有著一樣的安全隱患意識和技術水平，因此在終端管理員層如何制定完善終端管理的制度和利用現有的技術來規(guī)范用戶行為至關重要。其中做好權限的管理是重中之重，而企業(yè)內終端的密碼管理則是權限管理的基礎。

官渡ssl適用于網站、小程序/APP、API接口等需要進行數據傳輸應用場景，ssl證書未來市場廣闊！成為成都創(chuàng)新互聯公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

在小型企業(yè)中，PC客戶端直接使用客戶端，這種方式終端上需要管理的密碼只有工作組賬號密碼，這種熟練較少，只有使用excel等其他小工具管理即可。在中大型企業(yè)中，則會使用AD活動目錄來進行統(tǒng)一身份認證，此時域用戶賬號的密碼則集中保留中AD數據庫中，并且用戶權限也是保留在AD中，AD的安全性遠高于普通PC，因此安全性大大提升。

但是使用活動目錄，如何管理入域計算機的本地管理員密碼是企業(yè)IT運維管理員頭疼的一件事，基數龐大且在處理故障時又確實需要本地管理員賬號，以下我就介紹幾種在企業(yè)中常見的域內計算機本地管理員賬號管理方式，其中著重介紹LAPS（Local Administrator Password Solution）。

常見的幾種本地管理員密碼管理方式

1.直接禁用本地管理員

這是一種簡單粗暴的方式，直接省去管理本地賬號的工作，這種方式可以使用組策略來實現，問題是電腦因故障脫離域，或是無法使用域賬號登錄時，電腦就無法登錄，需要借助PE等工具啟用本機管理員并設置密碼。雖然管理簡單但是安全性有保障。

2.使用統(tǒng)一的本地管理員密碼

這種方式在企業(yè)中最為常見，本地administrator管理員密碼掌握在少數管理員手中，全公司或者單個部門保持一致的本地管理員密碼（可以通過組策略實現），這種方式對于helpdesk運維工作帶來的極大的方便，但是只要出現密碼泄露則會帶來極大的隱患，并不是很推薦的做法。

3.每臺電腦設置不一樣的密碼

每臺電腦設置一個不同的管理員密碼，由IT人員記錄在Excel或是筆記本上；但存在的問題是：每次要找某臺電腦的管理員密碼時，要去找文件或是記錄，而且也不能定時修改！這種方式大大的增加的IT人員的運維工作量。

4.為每臺PC本地管理員設置隨機密碼

在少部分企業(yè)中，通過計算機開機腳本，為每臺計算機設置隨機密碼，并通過其他方法配合禁止有本地管理員權限的用戶去更改本地賬號密碼，此種方式與直接禁用本地管理員賬號優(yōu)缺點并不太大差異。

5.使用LAPS統(tǒng)一管理計算機本地管理員密碼

優(yōu)點：

• 全自動，可配置的計算機本地管理員帳戶更新

• 通過OU訪問存儲的密碼的簡單委派。

• 由于LAPS利用了Active Directory組件（組策略，計算機對象屬性等），因此不需要其他服務器。

• 計算機帳戶只能寫入/更新自己的本地管理員帳戶密碼（ms-Mcs-AdmPwd屬性），而不能從該屬性讀取密碼。

• 密碼更新流量已加密。

• 可以輕松地為OU中的每臺計算機更改密碼。

• 免費

缺點：

• 僅存儲當前密碼，并且可供檢索

• 一次只能由LAPS管理一個本地管理員帳戶的密碼（只有一個密碼屬性）

• 域控制器的危害可能會危害域中的所有本地管理員帳戶密碼。

• 密碼可以隨時訪問，并可以由委派的密碼人員隨時使用。雖然可以啟用審核，但必須按每個OU，每個組配置，以便在域控制器上記錄事件ID 4662。

LAPS組件

代理-組策略客戶端擴展（CSE）-通過MSI安裝

• 事件記錄

• 隨機密碼生成-從客戶端計算機寫入AD計算機對象

PowerShell模塊

• 權限配置

Active Directory-集中控制

• 域控制器安全日志中的審核跟蹤

• 計算機對象特殊屬性（ms-Mcs-AdmPwd、ms-Mcs-AdmPwdExpirationTime）

LAPS受支持的版本

活動目錄：

• Windows 2003 SP1及更高版本

受管/客戶端計算機：

• Windows Server 2016

• Windows Server 2012 R2數據中心（x86或x64）

• Windows Server 2012 R2標準（x86或x64）

• Windows Server 2012 R2基礎（x86或x64）

• Windows 8.1企業(yè)版（x86或x64）

• Windows 8.1專業(yè)版（x86或x64）

• Windows Server 2012數據中心（x86或x64）

• Windows Server 2012標準版（x86或x64）

• Windows Server 2012 Essentials（x86或x64）

• Windows Server 2012基礎（x86或x64）

• Windows 8企業(yè)版（x86或x64）

• Windows 8專業(yè)版（x86或x64）

• Windows Server 2008 R2 Service Pack 1（x86或x64）

• Windows 7 Service Pack 1（x86或x64）

• Windows Server 2008 Service Pack 2（x86或x64）

• Windows Vista Service Pack 2（x86或x64）

• Microsoft Windows Server 2003 Service Pack 2（x86或x64）

• 不支持Itanium

管理工具：

• NET Framework4.0

• PowerShell 2.0 或更高版本

LAPS運作核心

LAPS簡化了密碼管理，同時幫助客戶實施針對網絡***的建議防御措施。特別是，該解決方案可減輕客戶在計算機上使用相同的管理本地帳戶和密碼組合時出現的橫向風險。LAPS將每臺計算機的本地管理員帳戶的密碼存儲在Active Directory中，并在計算機的相應Active Directory對象的安全屬性中進行保護。允許計算機在Active Directory中更新其自己的密碼數據，并且域管理員可以向授權用戶或組（如工作站服務臺管理員）授予讀取權限。

使用LAPS可以自動管理加入域的計算機上的本地管理員密碼，以便每個受管計算機上的密碼都是唯一的，是隨機生成的，并且安全地存儲在Active Directory基礎結構中。該解決方案建立在Active Directory基礎結構上，不需要其他支持技術。LAPS使用您在受管計算機上安裝的組策略客戶端擴展（CSE）來執(zhí)行所有管理任務。該解決方案的管理工具可輕松配置和管理。

LAPS解決方案的核心是GPO客戶端擴展（CSE），它執(zhí)行以下任務，并可以在GPO更新期間執(zhí)行以下操作：

• 檢查本地Administrator帳戶的密碼是否已過期。

• 當舊密碼過期或需要在過期之前進行更改時，生成新密碼。

• 根據密碼策略驗證新密碼。

• 將密碼報告給Active Directory，并將密碼和機密屬性一起存儲在Active Directory中。

• 將密碼的下一個到期時間報告給Active Directory，并將該屬性與計算機帳戶的屬性一起存儲在Active Directory中。

• 更改管理員帳戶的密碼。

• 然后，允許這樣做的用戶可以從Active Directory中讀取密碼。合格的用戶可以請求更改計算機的密碼。

LDAPS安裝部署

1.安裝LAPS.exe組件

一般使用DC作為服務器端，安裝時，務必不勾選第一項，防止策略誤下發(fā)影響AD域管理員密碼。

2.架構擴展

在DC中運行：

Import-Module Admpwd.ps

Update-AdmPwdADSchema

此時查看AD的計算機屬性會出現兩個新的屬性，分別是ms-MCS-AdmPwd（存儲密碼）和ms-MCS-AdmPwd（存儲過期時間）。

3.刪除默認的擴展權限

密碼存儲屬于機密內容，如果對電腦所在的OU權限配置不對，可能會使非授權的用戶能讀取密碼，所以從用戶和組的權限中刪除“All extended rights”屬性的權限，不允許讀取屬性 ms-Mcs-AdmPwd 的值。

• 如果需要，請對每個放置電腦的OU重復以下操作，如果子OU且你禁用了權限繼承，則每個子OU也要做相同的配置。

• 打開ADSIEdit

• 在你需要配置的計算機所在OU上點擊右鍵、屬性

• 單擊安全選項卡

• 單擊高級

• 選擇不想要能讀取密碼的組或用戶，然后單擊編輯。

• 取消選中所有擴展的權限

4.使用PowerShell管理LAPS權限

Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"

所有計算機帳戶本身都需要有寫入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd屬性的權限，此命令是讓計算機本機可以更新的管理本地管理員密碼的密碼和過期時間戳

Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang

設置willwang賬號允許讀取ComputerGroup的OU內的計算機本地管理員密碼

Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang

設置willwang賬號允許設置ComputerGroup的OU內的計算機本地管理員密碼

Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}

查找ComputerGroup的OU內的密碼權限分配

5.客戶端安裝GPO擴展（CSE）

有兩種方式，可以使用組策略軟件安裝選項，也可以使用腳本。

組策略軟件安裝選項配置

開機腳本安裝

msiexec /i \\server\share\LAPS.x64.msi /quiet

安裝后，在客戶端上可看到此安裝選項。

6.組策略下發(fā)

按配置選項進行策略配置。

Password Settings配置密碼參數

密碼復雜性：

生成新密碼時使用哪些字符

默認值：

大字母+小寫字母+數字+特殊字符

密碼長度：

最少：8個字符

大值：64個字符

默認值：14個字符

密碼年齡（天）：

最少：1天

最長：365天

默認值：30天

Name of administrator account to manage本地管理員名稱管理

管理員帳戶名稱——要為其管理密碼的本地帳戶的名稱。

使用內置管理員帳戶時請勿配置。即使重命名，內置的管理員帳戶也會由知名的SID自動檢測

在使用自定義本地管理員帳戶時進行配置

Do not allow password expiration time longer than required by policy密碼到期時間可能比“密碼設置”策略所需的時間長

啟用此設置時，不允許計劃密碼到期時間長于“密碼設置”策略規(guī)定的密碼時間。當檢測到此類到期時，立即更改密碼并根據策略設置密碼到期。

禁用或未配置此設置時，密碼到期時間可能比“密碼設置”策略所需的時間長。

Enable local admin password management啟用本地管理員帳戶的密碼管理

如果啟用此設置，則管理本地管理員密碼

如果禁用或未配置此設置，則不管理本地管理員密碼

7.客戶端刷新策略，生效

在使用LAPS UI修改密碼時，客戶端必需刷新策略，客戶端更改后再寫入到AD中。

參考鏈接：

https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN

作者：?王志輝

優(yōu)質文章

騰訊PaaS平臺 | 主機名設置錯誤怎么辦？

Redis持久化介紹

4大步驟節(jié)省30%浪費，優(yōu)化企業(yè)上云成本從了解云開始！

運維思考 | 你知道CMDB與監(jiān)控是什么關系嗎？

【干貨】4種Oracle DBaaS部署模式，你在使用哪一種？

另外有需要云服務器可以了解下創(chuàng)新互聯cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

標題名稱：域內計算機本地管理員密碼管理-創(chuàng)新互聯
文章出自：http://jinyejixie.com/article28/ccjhjp.html

成都網站建設公司_創(chuàng)新互聯，為您提供網站維護、微信公眾號、網站改版、域名注冊、手機網站建設、響應式網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯