我正在一个包含一台计算机的测试 OU 上测试 Windows LAPS。一切正常,只是我是唯一能够查看 LAPS 管理密码的用户。
如果我运行下面的命令,其中 $cred 是其他用户之一(testuser1),它工作正常。所以我不认为这是解密权限。其他用户与我属于同一个 LAPS 解密组(由 GPO 配置)。
Get-LapsADPassword testcomp -DecryptionCredential $cred
ComputerName : testcomp
DistinguishedName : Redacted
Account : Redacted
Password : Redacted
PasswordUpdateTime : 12/26/2023 10:11:45 AM
ExpirationTimestamp : 1/2/2024 10:11:45 AM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : Redacted
如果其他用户登录 Windows 并运行以下命令,他们什么也不会得到。没有错误,没有输出,没有到期日期,基本上就像你在空白行上按了回车键一样。
PS C:\Users\testuser1> Get-LapsADPassword testcomp
PS C:\Users\testuser1>
他们也无法在 AD 中看到它。LAPS 选项卡显示空白的管理员帐户名和密码,但没有显示有关没有解密权限的消息。
有谁知道我错过了什么?
答案1
搞定了。我需要在 OU 上运行 Set-LapsADReadPasswordPermission,以授予我的 LAPS 解密组查询 LAPS 密码的权限。
例子:
Set-LapsADReadPasswordPermission -Identity "OU=Test,DC=contoso,DC=com" -AllowedPrincipals "contoso\LAPS_Admins"