Windows LAPS 解密在受信任域中失败

Windows LAPS 解密在受信任域中失败

我们的林中有几个域。作为 PoC,我们在一个域中链接了 Windows LAPS GPO,并希望管理整个林中的凭据。如果您在同一个域中,密码解密可以正常工作,但当您尝试从另一个域获取密码时,它会失败。

您知道这是设计使然还是可以配置的吗?

答案1

ADPasswordEncryptionPrincipal 可用于指定可以解密密码的主体。如果不指定,则默认为 Domain Admins,该主体仅具有当前域的成员。


使用此设置可以配置可以解密存储在 Active Directory 中的密码的用户或组的名称或安全标识符 (SID)。

如果密码当前存储在 Azure 中,则忽略此设置。

如果未指定,则只有设备域中的域管理员组的成员才能解密密码。

如果指定,指定的用户或组可以解密存储在 Active Directory 中的密码。

https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-policy-settings#adpasswordencryptionprincipal

相关内容