Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Za pomocą rozwiązania Windows Local Administrator Password Solution (Windows LAPS) można zarządzać hasłami kont administratora lokalnego i kont trybu przywracania usług katalogowych kontrolera domeny (DSRM). W tym artykule pokazano, jak rozpocząć pracę z usługami Windows LAPS i Windows Server Active Directory. W tym artykule opisano podstawowe procedury używania systemu Windows LAPS do tworzenia kopii zapasowych haseł w usłudze Active Directory systemu Windows Server i pobierania ich.
Wymagania dotyczące wersji systemu operacyjnego kontrolera domeny i poziomu funkcjonalności domeny
Jeśli poziom funkcjonalności domeny (DFL) jest wcześniejszy niż 2016, nie można włączyć szyfrowania haseł w systemie Windows LAPS. Bez szyfrowania haseł:
- Można skonfigurować klientów do przechowywania haseł tylko w postaci zwykłego tekstu zabezpieczonego przez listy kontroli dostępu (ACL) usługi Active Directory systemu Windows Server.
- Nie można skonfigurować kontrolerów domeny do zarządzania lokalnym kontem DSRM.
Jeśli domena korzysta z DFL w wersji 2016 lub nowszej, możesz włączyć szyfrowanie haseł w systemie Windows LAPS. Jednak kontrolery domeny z systemu Windows Server 2016 i starszych, które uruchamiasz, nie obsługują systemu Windows LAPS. W związku z tym te kontrolery domeny nie mogą używać funkcji zarządzania kontami DSRM.
Dobrze jest używać systemu Windows Server 2016 i starszych obsługiwanych systemów operacyjnych na kontrolerach domeny, pod warunkiem, że jesteś świadomy tych ograniczeń.
Poniższa tabela zawiera podsumowanie funkcji obsługiwanych w różnych scenariuszach:
| Szczegóły domeny | Obsługiwane przechowywanie haseł jako zwykły tekst | Obsługiwany magazyn zaszyfrowanych haseł (w przypadku klientów przyłączonych do domeny) | Obsługiwane zarządzanie kontami dsRM (w przypadku kontrolerów domeny) |
|---|---|---|---|
| DFL przed 2016 rokiem | Yes | No | No |
| 2016 DFL z co najmniej jednym kontrolerem domeny systemu Windows Server 2016 lub starszym | Yes | Yes | Tak, ale tylko dla kontrolerów domeny systemu Windows Server 2019 i nowszych |
| 2016 DFL tylko z systemem Windows Server 2019 i nowszymi kontrolerami domeny | Yes | Yes | Yes |
Zdecydowanie zalecamy uaktualnienie do najnowszego dostępnego systemu operacyjnego na klientach, serwerach i kontrolerach domeny w celu skorzystania z najnowszych funkcji i ulepszeń zabezpieczeń.
Przygotowywanie usługi Active Directory
Wykonaj następujące kroki przed skonfigurowaniem urządzeń przyłączonych do usługi Active Directory lub urządzeń przyłączonych hybrydowo, aby utworzyć kopię zapasową haseł konta zarządzanego w usłudze Active Directory.
Note
Jeśli planujesz utworzyć kopię zapasową tylko haseł do identyfikatora Entra firmy Microsoft, nie musisz wykonywać żadnych z tych kroków, w tym rozszerzania schematu usługi AD.
- Jeśli używasz centralnego magazynu zasad grupy, ręcznie skopiuj pliki szablonu zasad grupy Windows LAPS do centralnego magazynu. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień zasad dla systemu Windows LAPS.
- Analizowanie, określanie i konfigurowanie odpowiednich uprawnień usługi AD na potrzeby wygasania haseł i pobierania haseł. Zobacz Hasła usługi Active Directory systemu Windows Server.
- Przeanalizuj i określ odpowiednie autoryzowane grupy do odszyfrowywania haseł. Zobacz Hasła usługi Active Directory systemu Windows Server.
- Utwórz nowe zasady systemu Windows LAPS przeznaczone dla urządzeń zarządzanych z odpowiednimi ustawieniami określonymi w poprzednich krokach.
Aktualizowanie schematu usługi Active Directory systemu Windows Server
Przed rozpoczęciem korzystania z systemu Windows LAPS należy zaktualizować schemat usługi Active Directory systemu Windows Server. Tę akcję można wykonać za pomocą polecenia cmdlet Update-LapsADSchema. Jest to jednorazowa operacja dla całego lasu. Można uruchomić polecenie cmdlet Update-LapsADSchema lokalnie na kontrolerze domeny zaktualizowanym do Windows Server 2019 lub nowszego za pomocą Windows LAPS. Można jednak również uruchomić to polecenie cmdlet na serwerze, który nie jest kontrolerem domeny, o ile serwer obsługuje moduł Windows LAPS PowerShell.
PS C:\> Update-LapsADSchema
Tip
-Verbose Dołącz parametr w wierszu polecenia, aby wyświetlić szczegółowe informacje o postępie polecenia cmdlet podczas przetwarzania. Możesz użyć parametru -Verbose z dowolnym poleceniem cmdlet w module LAPS PowerShell.
Udzielanie zarządzanemu urządzeniu uprawnień do aktualizowania hasła
Jeśli używasz systemu Windows LAPS do zarządzania hasłem na urządzeniu, to urządzenie zarządzane musi mieć uprawnienia do aktualizowania hasła. Tę akcję można wykonać, ustawiając uprawnienia dziedziczone w jednostce organizacyjnej zawierającej urządzenie. W tym celu można użyć Set-LapsADComputerSelfPermission polecenia cmdlet, jak pokazano w poniższym kodzie:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Jeśli wolisz ustawić uprawnienia dziedziczone w katalogu głównym domeny, możesz określić cały katalog główny domeny przy użyciu formatu wejściowego nazwy wyróżniającej (DN). Można na przykład użyć parametru -Identity z argumentem DC=laps,DC=com.
Udzielanie uprawnień zapytania haseł
Aby wysyłać zapytania dotyczące haseł z usługi Active Directory, użytkownicy muszą mieć przyznane uprawnienia. Tę akcję można wykonać, ustawiając uprawnienia dziedziczone w jednostce organizacyjnej zawierającej urządzenie. W tym celu można użyć Set-LapsADReadPasswordPermission polecenia cmdlet, jak pokazano w poniższym kodzie:
PS C:\> Set-LapsADReadPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordReadersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Członkowie grupy Administratorzy domeny mają już domyślnie uprawnienia zapytania haseł.
Tip
Gdy użytkownik otrzymuje uprawnienie do wykonywania zapytań dotyczących hasła z usługi Active Directory, które nie oznacza automatycznie, że użytkownik ma uprawnienia do odszyfrowywania zaszyfrowanego hasła. Uprawnienie do odszyfrowywania zaszyfrowanego hasła jest konfigurowane za pomocą ustawienia zasad ADPasswordEncryptionPrincipal w momencie, gdy urządzenie zapisuje hasło w usłudze Active Directory. Domyślnym ustawieniem dla ADPasswordEncryptionPrincipal jest grupa Administratorów domeny.
Udzielanie uprawnień wygasania haseł
Użytkownicy muszą mieć przyznane uprawnienia, aby ustawić czas wygaśnięcia haseł przechowywanych w usłudze Active Directory. Gdy hasło zostanie oznaczone jako wygasłe w usłudze Active Directory, urządzenie zmieni hasło w następnym cyklu przetwarzania. Użytkownicy mogą użyć tego mechanizmu, aby skrócić (lub przedłużyć) pozostały czas do następnej oczekiwanej rotacji haseł.
Tę akcję można wykonać, ustawiając uprawnienia dziedziczone w jednostce organizacyjnej zawierającej urządzenie. W tym celu można użyć Set-LapsADResetPasswordPermission polecenia cmdlet, jak pokazano w poniższym kodzie:
PS C:\> Set-LapsADResetPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordExpirersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Członkowie grupy Administratorzy domeny mają już domyślnie uprawnienia do wygasania haseł.
Tip
Polecenie Set-LapsADPasswordExpirationTime cmdlet może służyć do ustawiania czasu wygaśnięcia hasła dla danego urządzenia w usłudze Active Directory po udzieleniu uprawnień.
Wykonywanie zapytań dotyczących rozszerzonych uprawnień
Niektórzy użytkownicy lub grupy mogą mieć rozszerzone uprawnienia na jednostkę organizacyjną zarządzanego urządzenia. Taka sytuacja jest problematyczna, ponieważ użytkownicy, którzy mają to uprawnienie, mogą odczytywać poufne atrybuty, a wszystkie atrybuty hasła systemu Windows LAPS są oznaczone jako poufne.
Możesz użyć Find-LapsADExtendedRights polecenia cmdlet , aby zobaczyć, kto ma to uprawnienie, jak pokazano w poniższym kodzie:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
W danych wyjściowych uprawnienia mają tylko zaufane jednostki SYSTEM i Administratorzy domeny. W tym przypadku nie jest wymagana żadna inna akcja.
Konfigurowanie zasad urządzenia
W poniższych sekcjach pokazano, jak skonfigurować zasady urządzenia.
Wybieranie mechanizmu wdrażania zasad
Pierwszym krokiem jest wybranie sposobu stosowania zasad na urządzeniach.
Większość środowisk używa zasad grupy systemu Windows LAPS , aby wdrożyć wymagane ustawienia na urządzeniach przyłączonych do domeny systemu Windows Server.
Jeśli urządzenia są również przyłączone hybrydowo do identyfikatora Entra firmy Microsoft, możesz wdrożyć zasady przy użyciu usługi Microsoft Intune z dostawcą usługi konfiguracji SYSTEMU Windows LAPS (CSP).
Konfigurowanie określonych zasad
Co najmniej należy skonfigurować BackupDirectory ustawienie, przypisując mu wartość 2. Ta wartość służy do tworzenia kopii zapasowych haseł w usłudze Active Directory systemu Windows Server.
Jeśli nie skonfigurujesz ustawienia AdministratorAccountName, system Windows LAPS domyślnie zarządza wbudowanym kontem administratora lokalnego. To wbudowane konto jest automatycznie identyfikowane przy użyciu znanego identyfikatora względnego (RID). Nigdy nie należy go identyfikować przy użyciu jego nazwy. Nazwa wbudowanego konta administratora lokalnego różni się w zależności od domyślnych ustawień regionalnych urządzenia.
Jeśli chcesz skonfigurować niestandardowe konto administratora lokalnego, należy skonfigurować AdministratorAccountName ustawienie z nazwą tego konta.
Important
Jeśli skonfigurujesz system Windows LAPS do zarządzania niestandardowym kontem administratora lokalnego, musisz upewnić się, że konto zostało utworzone. System Windows LAPS nie tworzy konta. Zalecamy utworzenie konta za pomocą dostawcy CSP grupy z ograniczeniami .
Możesz skonfigurować inne ustawienia, takie jak PasswordLength, zgodnie z potrzebami dla organizacji.
Jeśli nie skonfigurujesz danego ustawienia, zostanie zastosowana wartość domyślna. Upewnij się, że rozumiesz wartości domyślne ustawień. Jeśli na przykład włączysz szyfrowanie haseł, ale nie skonfigurujesz ADPasswordEncryptionPrincipal tego ustawienia, hasło zostanie zaszyfrowane, aby tylko administratorzy domeny mogli je odszyfrować. Możesz skonfigurować ADPasswordEncryptionPrincipal za pomocą innego ustawienia, jeśli chcesz, aby użytkownicy oprócz administratorów domeny mogli go odszyfrować.
Aktualizowanie hasła w usłudze Active Directory systemu Windows Server
Windows LAPS przetwarza aktywną politykę co godzinę. Cykl przetwarzania można również uruchomić ręcznie, ponieważ system Windows LAPS odpowiada na powiadomienia o zmianie zasad grupy.
Aby sprawdzić, czy hasło zostało pomyślnie zaktualizowane w usłudze Active Directory systemu Windows Server, poszukaj w dzienniku zdarzeń zdarzenia o identyfikatorze 10018:
Aby uniknąć oczekiwania po zastosowaniu zasad, możesz uruchomić Invoke-LapsPolicyProcessing polecenie cmdlet programu PowerShell, aby natychmiast przetworzyć zasady.
Pobieranie hasła z usługi Active Directory systemu Windows Server
Możesz użyć Get-LapsADPassword polecenia cmdlet , aby pobrać hasła z usługi Active Directory systemu Windows Server, jak pokazano w poniższym kodzie:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
W tych danych wyjściowych wiersz Source wskazuje, że szyfrowanie haseł jest włączone. Szyfrowanie haseł wymaga skonfigurowania domeny dla systemu Windows Server 2016 lub nowszego DFL.
Jeśli nie masz dostępu do wykonywania zapytań dotyczących hasła, możesz dostosować uprawnienia do odczytu hasła. Zobacz Przyznaj uprawnienia do zapytań o hasło.
Obracanie hasła
System Windows LAPS odczytuje czas wygaśnięcia hasła z usługi Active Directory systemu Windows Server podczas każdego cyklu przetwarzania zasad. Jeśli hasło wygasło, nowe hasło jest generowane i przechowywane natychmiast.
W niektórych sytuacjach warto wcześniej obrócić hasło, na przykład po naruszeniu zabezpieczeń lub podczas improwizowanego testowania. Aby ręcznie wymusić rotację hasła, możesz użyć cmdletu Reset-LapsPassword.
Możesz użyć Set-LapsADPasswordExpirationTime polecenia cmdlet , aby ustawić zaplanowany czas wygaśnięcia hasła przechowywany w usłudze Active Directory systemu Windows Server. Poniższy kod ustawia czas wygaśnięcia na bieżący czas:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Następnym razem, gdy system Windows LAPS przetworzy bieżącą politykę, zobaczy zmodyfikowany termin wygaśnięcia hasła i zmienia hasło. Jeśli nie chcesz czekać na następny cykl przetwarzania, możesz uruchomić polecenie Invoke-LapsPolicyProcessing, aby natychmiast przetworzyć politykę.
Możesz użyć polecenia cmdlet Reset-LapsPassword, aby lokalnie wymusić natychmiastową rotację hasła.
Pobieranie haseł podczas scenariuszy odzyskiwania po awarii usługi Active Directory w systemie Windows Server
Aby pobrać hasła systemu Windows LAPS (w tym hasła DSRM), zwykle potrzebny jest co najmniej jeden kontroler domeny usługi Active Directory systemu Windows Server. W katastrofalnym scenariuszu wszystkie kontrolery domeny w domenie mogą nie działać. Jak odzyskać hasła w tej sytuacji?
Najlepsze rozwiązania dotyczące zarządzania usługą Active Directory systemu Windows Server zaleca regularne tworzenie kopii zapasowych wszystkich kontrolerów domeny. Hasła systemu Windows LAPS przechowywane w zamontowanej kopii zapasowej bazy danych usługi Active Directory systemu Windows Server można pobrać, używając polecenia cmdlet programu PowerShell i określając parametr Get-LapsADPassword.
W kompilacji Windows Insider 27695 i nowszych, polecenie cmdlet oferuje ulepszone możliwości odzyskiwania haseł. W szczególności w przypadku użycia Get-LapsADPassword polecenia cmdlet i określenia parametrów -Port i -RecoveryMode odzyskiwanie hasła zakończy się pomyślnie bez konieczności kontaktu z kontrolerem domeny. Ponadto można uruchomić Get-LapsADPassword w tym trybie na komputerze w grupie roboczej, który nie jest przyłączony do domeny. Ta funkcja jest dostępna w systemach operacyjnych klienta i serwera.
Tip
Możesz użyć dsamain.exe narzędzia do zainstalowania nośnika kopii zapasowej usługi Active Directory systemu Windows Server i wykonywania zapytań względem niego za pośrednictwem protokołu LDAP (Lightweight Directory Access Protocol). Narzędzie dsamain.exe nie jest instalowane domyślnie, więc musi zostać dodane. Możesz użyć polecenia cmdletu Enable-WindowsOptionalFeature, aby ją włączyć.
- Na maszynach klienckich z systemem Windows można uruchomić polecenie
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Client. - Na maszynie z systemem Windows Server można uruchomić polecenie
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM.
Poniższy kod wykonuje zapytania dotyczące haseł systemu Windows LAPS przechowywanych w bazie danych kopii zapasowej usługi Active Directory systemu Windows Server, która jest lokalnie instalowana na porcie 50000:
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Important
Gdy zaszyfrowane hasła systemu Windows LAPS są pobierane z bazy danych kopii zapasowej usługi Active Directory systemu Windows Server zainstalowanej na maszynie grupy roboczej, AuthorizedDecryptor pole jest zawsze wyświetlane w formacie nieprzetworzonego identyfikatora zabezpieczeń (SID). Maszyna grupy roboczej nie może przetłumaczyć identyfikatora SID na przyjazną nazwę.
Zobacz także
- Przedstawiamy rozwiązanie do zarządzania hasłami administratora lokalnego w systemie Windows z Microsoft Entra ID (Azure AD)
- Windowsowe rozwiązanie zarządzania hasłem lokalnego administratora w Microsoft Entra ID
- Dostawca CSP grupy z ograniczeniami
- Microsoft Intune
- Obsługa Windows LAPS w Microsoft Intune
- Windows LAPS CSP
- wskazówki dotyczące rozwiązywania problemów z systemem Windows LAPS