我们的林中有几个域。作为 PoC,我们在一个域中链接了 Windows LAPS GPO,并希望管理整个林中的凭据。如果您在同一个域中,密码解密可以正常工作,但当您尝试从另一个域获取密码时,它会失败。
您知道这是设计使然还是可以配置的吗?
答案1
ADPasswordEncryptionPrincipal 可用于指定可以解密密码的主体。如果不指定,则默认为 Domain Admins,该主体仅具有当前域的成员。
使用此设置可以配置可以解密存储在 Active Directory 中的密码的用户或组的名称或安全标识符 (SID)。
如果密码当前存储在 Azure 中,则忽略此设置。
如果未指定,则只有设备域中的域管理员组的成员才能解密密码。
如果指定,指定的用户或组可以解密存储在 Active Directory 中的密码。