如何修复Windows LAPS帐户密码解密权限错误
实施 Windows LAPS 后,一些管理员可以看到 LAPS 本地管理员帐户名和密码,而其他管理员则看到这两个字段都是空的。为什么会出现这种情况,解决办法是什么?在本文中,您将了解如何修复 Windows LAPS 帐户密码解密权限错误。
您无权解密账户密码
让我们看看出现的错误。
开始Active Directory 用户和计算机并转到您要检索 LAPS 密码的计算机属性。单击拉普斯选项卡。
出现警告:
该帐户的密码已加密,但您无权解密。
LAPS 本地管理员帐户名称和 LAPS 本地管理员帐户密码字段均为空。但是,我们希望看到这两个字段均已填充。
为什么会发生这种情况,以及如何修复警告消息该帐户的密码已加密,但您无权解密?
如果您配置 Windows LAPS 并使用具有域管理员权限的帐户登录,您将不会看到此警告。
出现该警告是因为登录以检索 LAPS 本地管理员帐户名和密码的用户帐户不是域管理员。例如,帮助台团队的用户没有分配域管理员权限。
要解决此警告,我们必须创建一个包含其所有成员的安全组。接下来,设置该安全组的 LAPS 读取和重置权限。最后,将该组添加到 Windows LAPS 授权密码解密器策略中。
步骤1.创建安全组
在中创建安全组Active Directory 用户和计算机。
将成员添加到组中。另外,添加域管理员,因为该组将是唯一能够读取和重置 LAPS 密码的组。
步骤2.获取安全组SID
使用 PowerShell 查找安全组 SID。
Get-ADGroup "Windows_LAPS"输出与组 SID 一起出现。
DistinguishedName : CN=Windows_LAPS,OU=AD,OU=Groups,OU=Company,DC=exoip,DC=local
GroupCategory : Security
GroupScope : Universal
Name : Windows_LAPS
ObjectClass : group
ObjectGUID : 05c3f8a0-4f46-4441-ab41-796538b45a82
SamAccountName : Windows_LAPS
SID : S-1-5-21-1083891243-2317051905-4228426097-3278复制安全组 SID 值,您将需要在后续步骤中使用它。
步骤 3. 设置 LAPS 权限
替换这两个命令中的安全组 SID 并在 PowerShell 中运行它。
这设置 LapsADReadPasswordPermissioncmdlet 将授予组查询 Windows 本地管理员密码解决方案 (LAPS) 密码的权限。
Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")这设置 LapsADResetPasswordPermissioncmdlet 将授予组设置 Windows 本地管理员密码解决方案 (LAPS) 密码过期时间的权限。
Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")打开组策略管理。
导航至电脑配置>政策>管理模板>系统>拉普斯。
将安全组 SID 添加到授权密码解密器字段。
在我们的示例中,它是:
S-1-5-21-1083891243-2317051905-4228426097-3278
第 5 步:验证您的工作
重要的:注销并重新登录管理服务器或域控制器以使权限设置生效。
开始Active Directory 用户和计算机。转到计算机属性并单击拉普斯选项卡。该错误不再显示,并显示 LAPS 本地管理员帐户名和密码值。
就是这样!
结论
您了解了如何修复帐户密码已加密但您无权解密的错误。首先,创建一个安全组并添加所有能够查看和重置 LAPS 密码的用户。之后,配置 LAPS 组策略授权密码解密器并将组添加到其中。请记住注销并重新登录以使权限生效。
您喜欢这篇文章吗?您可能还喜欢如何创建 Active Directory 安全评估报告。不要忘记关注我们并分享这篇文章。
![Fonepaw Dotrans评论2025:是否证明成本合理? [已解决]](https://tips.pfrlju.com/tech/enda/wp-content/uploads/cache/2025/07/fonepaw-dotrans-review.png)
