2023/04 更新 Windows 網域新功能
整合 Windows 單機管理員的網域管理服務
Windows AD管理工具也跟著改版
GPO 的模組檔案放在 Windows Server 的本機 GPO 模組資料夾
部屬前置作業,授權管理裝置可寫入 AD 密碼權限
授權裝置寫入密碼
Set-LapsADComputerSelfPermission -Identity NewLaps
查詢擴充屬性安全設定
Find-LapsADExtendedRights -Identity newlaps
Windows LAPS 安全性規則ACL設定讀取密碼權限,加密設定解密密碼權限
解密的規則在一開始部屬的時候就要規劃好了
一旦開始進行加密之後,只有設定的可解密"物件"可以解密
如果沒有設定解密的規則,預設可解密的物件是 Domain Admins
我的作法是建立一個專用群組,只有該群組的成員才可以解密
加密演算法用的是 Windows 自己開發的 DPAPI
至於加密用的私鑰,放在 Windows Server 裡面
統一由網域 AD 來作加解密,微軟沒有釋出私鑰任何的查詢與設定
然後該私鑰會被網域的 AD 同步服務同步
密碼歷程記錄 主要設計在還原的系統時使用
我採用的的 GPO 規則
順利部屬的裝置,並且你有解密權限的情況下
可以在屬性頁面上看到密碼,否則會跳出警告
AD 管理工具上的重設到期時間需要給予權限才可運作
如果沒有設定的話,一樣會跳出錯誤訊息
大部份的情況下 Powershell 也是該功能的必要物件
因為你不會想去研究到底 AD 目錄的權限是從那裡去調整的
沒有留言:
張貼留言