如何修復Windows LAPS帳戶密碼解密權限錯誤
實施 Windows LAPS 後,一些管理員可以看到 LAPS 本地管理員帳戶名和密碼,而其他管理員則看到這兩個字段都是空的。為什麼會出現這種情況,解決辦法是什麼?在本文中,您將了解如何修復 Windows LAPS 帳戶密碼解密權限錯誤。
您無權解密賬戶密碼
讓我們看看出現的錯誤。
開始Active Directory 用戶和計算機並轉到您要檢索 LAPS 密碼的計算機屬性。單擊拉普斯選項卡。
出現警告:
該帳戶的密碼已加密,但您無權解密。
LAPS 本地管理員帳戶名稱和 LAPS 本地管理員帳戶密碼字段均為空。但是,我們希望看到這兩個字段均已填充。
為什麼會發生這種情況,以及如何修復警告消息該帳戶的密碼已加密,但您無權解密?
如果您配置 Windows LAPS 並使用具有域管理員權限的帳戶登錄,您將不會看到此警告。
出現該警告是因為登錄以檢索 LAPS 本地管理員帳戶名和密碼的用戶帳戶不是域管理員。例如,幫助台團隊的用戶沒有分配域管理員權限。
要解決此警告,我們必須創建一個包含其所有成員的安全組。接下來,設置該安全組的 LAPS 讀取和重置權限。最後,將該組添加到 Windows LAPS 授權密碼解密器策略中。
步驟1.創建安全組
在中創建安全組Active Directory 用戶和計算機。
將成員添加到組中。另外,添加域管理員,因為該組將是唯一能夠讀取和重置 LAPS 密碼的組。
步驟2.獲取安全組SID
使用 PowerShell 查找安全組 SID。
Get-ADGroup "Windows_LAPS"輸出與組 SID 一起出現。
DistinguishedName : CN=Windows_LAPS,OU=AD,OU=Groups,OU=Company,DC=exoip,DC=local
GroupCategory : Security
GroupScope : Universal
Name : Windows_LAPS
ObjectClass : group
ObjectGUID : 05c3f8a0-4f46-4441-ab41-796538b45a82
SamAccountName : Windows_LAPS
SID : S-1-5-21-1083891243-2317051905-4228426097-3278複製安全組 SID 值,您將需要在後續步驟中使用它。
步驟 3. 設置 LAPS 權限
替換這兩個命令中的安全組 SID 並在 PowerShell 中運行它。
這設置 LapsADReadPasswordPermissioncmdlet 將授予組查詢 Windows 本地管理員密碼解決方案 (LAPS) 密碼的權限。
Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")這設置 LapsADResetPasswordPermissioncmdlet 將授予組設置 Windows 本地管理員密碼解決方案 (LAPS) 密碼過期時間的權限。
Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")打開組策略管理。
導航至電腦配置>政策>管理模板>系統>拉普斯。
將安全組 SID 添加到授權密碼解密器字段。
在我們的示例中,它是:
S-1-5-21-1083891243-2317051905-4228426097-3278
第 5 步:驗證您的工作
重要的:註銷並重新登錄管理服務器或域控制器以使權限設置生效。
開始Active Directory 用戶和計算機。轉到計算機屬性並單擊拉普斯選項卡。該錯誤不再顯示,並顯示 LAPS 本地管理員帳戶名和密碼值。
就是這樣!
結論
您了解瞭如何修復帳戶密碼已加密但您無權解密的錯誤。首先,創建一個安全組並添加所有能夠查看和重置 LAPS 密碼的用戶。之後,配置 LAPS 組策略授權密碼解密器並將組添加到其中。請記住註銷並重新登錄以使權限生效。
您喜歡這篇文章嗎?您可能還喜歡如何創建 Active Directory 安全評估報告。不要忘記關注我們並分享這篇文章。
