我已经部署了 MS LAPS 来管理本地管理员密码,并且一切运行正常,只是非特权用户可以在 Powershell 和 LAPS UI 中访问本地管理员密码。
运行下面的命令,除了预期的组之外,内置\用户还可以读取密码。(此命令与 LAPS_OperationalGuide 建议的命令相同,但我将结果传送到ForEachandOut-File以便输出不会被截断。)
Find-AdmPwdExtendedRights -Identity 'All Computers' | `
ForEach-Object -Begin $null -Process {$_.ObjectDN}, {$_.ExtendedRightHolders} -End $null |`
Out-File C:\Temp\WTF.txt
mydomain\域用户该团体是内置\用户(这很正常),所以也许这就是问题的根源……?无论如何,我找不到从中删除 AdmPwd 权限的方法内置\用户或来自mydomain\域用户。我已经检查了ADSIEdit\AllComputers\属性\安全\高级但除了那些应该有权限的用户或组外,没有其他用户或组具有 AdmPwd 权限。在 ADUC 中执行了同样的操作,结果相同。
有人能告诉我如何从中删除 AdmPwd 权限吗内置\用户?有Set-AdmPwdExtendedRightscmdlet,但没有Remove-AdmPwdExtendedRightscmdlet。如果失败了,有人能告诉我如何找到权限来自哪里吗?
在人们开始询问之前,是的,我已经严格遵循了 LAPS_OperationGuide,运行了所有 Powershell cmdlet,转到 ADSI Edit 并删除了“所有扩展权限”,并向我的两个目标组授予了权限。LAPS 的一切都运行正常,除了内置\用户问题。
答案1
您的问题与 LAPS 的实施无关。我们注意到普通域用户能够读取 LAPS 密码也存在同样的问题。该问题是由 AD 计算机对象上的权限配置错误或特权蔓延引起的。解决方案是通过脚本审核所有计算机对象并重置继承以删除新对象上的任何自定义权限。我们发现此问题的一个主要原因是管理员在创建计算机对象时授予域用户将计算机加入域的权限。此权限保留在对象中,足以让他们在计算机加入域后读取 LAPS 密码。
答案2
感谢 Spiceworks.com 上的 Semicolon,我找到了解决方案。 https://community.spiceworks.com/topic/2314503-laps-problem-still?page=1#entry-9150359
TL;DR:当查看属性 > 安全 > 高级相关计算机 OU,然后是违规的我的域\用户条目,我没有注意到权限/属性是可滚动的。里面有很多我没看到的设置。用户入口没有 所有扩展权利, 但曾经有 读取 mcs-McS-AdmPwd。无法取消选中该框(单击“确定”后会重新选中),因此我完全删除了该条目。问题解决了。感谢所有贡献者。