了解如何使用 Windows Server Active Directory 用户和计算机管理管理单元中的 LAPS 属性对话框为 Windows Server Active Directory 配置 Windows 本地管理员密码解决方案(Windows LAPS)。
Windows LAPS 管理单元可用性
已启用 Windows LAPS 的 Active Directory 用户和计算机管理单元适用于已使用 Windows LAPS 功能进行修补的 Windows Server 平台。 必须将 Active Directory 用户和计算机管理单元作为较大 Active Directory Domain Services 角色的一部分或作为 AD DS Snap-in and Command-Line Tools 单个功能的一部分进行安装。
一种安装AD DS Snap-Ins and Command-Line Tools功能的方法是从命令行进行,如下所示:
dism.exe /online /enable-feature:DirectoryServices-DomainController-Tools /all
已启用 Windows LAPS 的 Active Directory 用户和计算机管理单元适用于已使用 Windows LAPS 功能通过远程服务器管理工具 (RSAT) 进行修补的 Windows Server 平台。 可以通过转到“设置”、“系统”(或“应用”(如果版本低于 Windows 10 22H2)、“可选功能”,然后在客户端平台上添加 RSAT(具体搜索并添加“RSAT:Active Directory 域服务和轻型目录服务工具”)。
已启用 Windows LAPS 的 Active Directory 用户和计算机管理单元在不支持 Windows LAPS 的旧平台上不可用。 旧的远程服务器管理工具包未更新,无法支持新的管理单元。
管理单元中的 LAPS 属性对话框
Windows Server Active Directory 用户和计算机管理单元包括可用于计算机对象的 LAPS 属性对话框:
可以使用“属性”对话框完成以下作:
- 查看当前密码过期时间。
- 修改密码过期时间。
- 废除密码过期时间。
- 查看当前帐户名称和密码。
重要
LAPS 属性对话框不支持查看旧版 Microsoft LAPS 密码或密码过期时间。
查看当前密码过期时间
首次转到 Windows Server Active Directory 计算机的属性对话框时,日期时间控件将显示当前密码过期时间。 例如:
修改密码过期时间
可以使用日期时间控件修改密码过期时间。 例如:
如果修改日期或时间,请选择“ 应用”,然后选择“ 确定”。
手动使密码失效
若要立即过期密码,请选择“ 立即过期”:
选择 应用,然后选择 确定。
查看当前帐户名称和密码
如果您有权限读取和解密计算机的当前 Windows LAPS 密码属性,帐户名称 和 密码 会显示您的用户名和密码。 选择 “复制密码 ”,将密码复制到剪贴板。 选择“ 显示密码 ”以显示密码。
如果没有读取或解密当前密码信息的权限,对话框将显示警告。
重要
Active Directory 用户和计算机管理单元仅支持查看最近存储的密码。 若要查询较旧的密码(假设已启用密码历史记录),必须使用 Get-LapsADPassword PowerShell cmdlet。