LAPS“未获授权管理”

问题描述：

当我打开dsa.msc并导航到我的 LAPS 控制的 OU，右键单击目标系统，转到Properties>LAPS>Expire Now并单击“应用”时，它会显示消息You may not be authorized to administer LAPS related state on this computer

信息：

• LAPS 管理模板已按以下要求安装和配置此 Microsoft 技术社区帖子
  • 已将 GPO 推送到包含已配置模板的 LAPS OU
• LAPS 管理工具已安装在 LAPS 服务器上
• AdmPwdGPO我正在测试的客户端系统上已安装 LAPS扩展
  • 一旦我发现它可以工作，就会开发用于安装 MSI 的 GPO。
• Active Directory 架构已扩展并且包含ms-Mcs-AdmPwd和ms-Mcs-AdmPwdExpirationTime属性。
  • 这是在我在这个网络上开始工作之前完成的
• PowerShell AdmPwd.PS 模块已用于：
  • Set-AdmPwdComputerSelfPermission允许本地系统使用指向目标 OU的 LAPS 属性进行更新
  • 确保Domain Admins拥有权限Set-AdmPwdReadPasswordPermission，然后验证Find-AdmPwdExtendedRights
  • 该架构包含明文 LAPS 密码和有效期。域管理员可以查看这些内容，这也是此特定网络的预期设计。
• 在事件查看器的部分中我没有找到Administrative Events与错误消息同时发生的相关事件日志。

补充笔记：

据现场其他工作人员称，该网络在过去两年内从 Server 2016 迁移到了 Server 2019。当网络运行 Server 2016 时，LAPS 显然已配置（并且正在运行？？）。从 Server 2016 迁移到 2019 是否会导致 LAPS 出现问题？

此外，虽然扩展了架构并安装了 GPO，但我没有看到网络上的任何系统上安装的 LAPS UI 工具或客户端软件。

附加问题：

有没有什么地方可以让我找到有关此错误的更多详细信息？是否存在任何域权限问题，导致我无法向目标系统发送“Expire”命令？我假设 LAPS 客户端和 LAPS 服务器有办法解决本地系统帐户的重置问题。