本地管理员密码解决方案（LAPS）简介

本地管理员帐户密码管理

编制人

杰里·福尔马切克

本地管理员密码管理

数据表

出版：2015年6月

上次更新时间：2018年6月

作者：

JiriFrmacek，微软

摘要：本文档简要概述了本地管理员密码解决方案（LAPS）

版权所有©2015MicrsftCrpratin。保留所有权利。

一、概述

本地管理员解决方案自动管理加入域的计算机上的本地管理员密码，因此密码为：

在每台受管计算机上唯一

随机生成

安全地存储在AD基础架构中

解决方案仅建立在AD基础设施上，因此不需要安装和支持其他技术。

解决方案本身是一个组策略客户端扩展，安装在托管计算机上并执行所有管理任务

随解决方案提供的管理工具允许轻松配置和管理。

二、架构

解决方案架构如下：

解决方案的核心是GP客户端扩展（CSE），它在GP更新期间执行以下任务：

1. 检查本地管理员帐户的密码是否已过期

2. 当旧密码过期或需要在过期前更改时生成新密码

3. 更改管理员帐户的密码

4. 将密码报告给passwrdactivedirectry，并将其存储在机密属性中，计算机帐户位于AD中

5. 将下一个过期时间报告给活动目录，并将其存储在AD中的计算机帐户的机密属性中

6. 然后允许用户从AD中读取密码

7. 授权用户可以强制更改密码

三、功能特色

解决方案功能包括：

安全性：

在托管计算机上自动定期更改的随机密码

有效缓解pass-the-hash***

通过kerbers加密在传输期间保护密码

密码在ad中受adacl保护，因此可以方便地实现粒度安全模型

可管理性

可配置的密码参数：期限、复杂性和长度

根据每台机器强制重置密码的能力

与adacl集成的安全模型

终端用户界面可以是任何AD管理工具的选择，另外还提供了自定义工具（pwershell和胖客户端）

防止计算机帐户删除

易于实现，技术难度最小

四、要求

解决方案有以下要求：

活动目录：

Windws2003SP1及更高版本

托管计算机：

当前SP或更高版本的WindwsVista；x86或x64

当前SP及以上版本的Windws2003；x86或x64（不支持安腾）

管理工具：

.NETFramewrk4.0

pwershell2.0或更高版本