本地管理员帐户密码管理
编制人
杰里·福尔马切克
本地管理员密码管理
数据表
出版:2015年6月
上次更新时间:2018年6月
作者:
JiriFrmacek,微软
摘要:本文档简要概述了本地管理员密码解决方案(LAPS)
版权所有©2015MicrsftCrpratin。保留所有权利。
一、概述
本地管理员解决方案自动管理加入域的计算机上的本地管理员密码,因此密码为:
在每台受管计算机上唯一
随机生成
安全地存储在AD基础架构中
解决方案仅建立在AD基础设施上,因此不需要安装和支持其他技术。
解决方案本身是一个组策略客户端扩展,安装在托管计算机上并执行所有管理任务
随解决方案提供的管理工具允许轻松配置和管理。
二、架构
解决方案架构如下:
解决方案的核心是GP客户端扩展(CSE),它在GP更新期间执行以下任务:
1. 检查本地管理员帐户的密码是否已过期
2. 当旧密码过期或需要在过期前更改时生成新密码
3. 更改管理员帐户的密码
4. 将密码报告给passwrdactivedirectry,并将其存储在机密属性中,计算机帐户位于AD中
5. 将下一个过期时间报告给活动目录,并将其存储在AD中的计算机帐户的机密属性中
6. 然后允许用户从AD中读取密码
7. 授权用户可以强制更改密码
三、功能特色
解决方案功能包括:
安全性:
在托管计算机上自动定期更改的随机密码
有效缓解pass-the-hash攻击
通过kerbers加密在传输期间保护密码
密码在ad中受adacl保护,因此可以方便地实现粒度安全模型
可管理性
可配置的密码参数:期限、复杂性和长度
根据每台机器强制重置密码的能力
与adacl集成的安全模型
终端用户界面可以是任何AD管理工具的选择,另外还提供了自定义工具(pwershell和胖客户端)
防止计算机帐户删除
易于实现,技术难度最小
四、要求
解决方案有以下要求:
活动目录:
Windws2003SP1及更高版本
托管计算机:
当前SP或更高版本的WindwsVista;x86或x64
当前SP及以上版本的Windws2003;x86或x64(不支持安腾)
管理工具:
.NETFramewrk4.0
pwershell2.0或更高版本
