下载安装LAPS

从网站可以很容易下载到LAPS安装包：LAPS.x64.msi或 LAPS.x32.msi，需 要将其安装到管理机上，在笔者所管理的系统中，本人是一台成员服务器 (contososrv1) 的本地管理员，该成员服务器位于名为“Member servers”的组织单元（OU）中。然后在contososrv1上安装LAPS，很快就完成。接着，需要在被管理的机器上安装LAPS，此时可以采用PowerShell命令格式执行安 装 ：msiexec/ic:laps.x64.msi/quiet。

扩展AD模式

在采用LAPS管理密码之前，需要扩展AD（活动目录）模式，具体而言需要添加两个新的属性“ms-MCSAdmPwd” 和“ms-MCSAdmPwdExpiration Time”，以备存储设备的本地管理员账户密码。其实LAPS本身就有PowerShell模块，该模块可自动更新AD模式，此时我们的身份账户也应当是Schema Administrator，为此需要导入模块和升级模式，执行PowerShell命令。现在，需要将新的AD属性设置生效。首先，需要设备允许写入新属性，具体命令如下，其命令参数OrgUnit应跟随 O U名 称：Set-AdmPwdCo mputerSelfPermission-OrgU nit‘member servers’。 接下去，我们需要了解OU中哪些users和groups可以具有相应的扩展权限，为此只要执行以下命令即可知道：Find-AdmPwdExtendedrights-identity‘member servers’。在笔者的系统中，有上述权限者 仅 限Domain Admins和SYSTEM，因而笔者不需要进行任何改变设置。但在实际工作中，我们往往需要针对OU中的特定用户甚至组取消上述权限，这时我们可以通过系统提供的Server Manager中工具菜单下的ADSI进行操作即可。

在GPO中设置LAPS

经过上述工作，笔者需要为LAPS生成组策略对象（GPO），并将其应用于本人的成员服务器OU，进入组策略编辑器，进行操作即可。从组策略编辑器中可以看到，有关LAPS组策略的设置内容有Password Settings(密 码 设 置 )、Name of administrator account to manage（所要管理的管理员账户）、Do not allow password expiration time longer than required by policy （不允许密码逾期）、Enable local admin password management（允 许管理本地管理员密码），我们在管理机上选择第4项；第1项设置密码的复杂度、长度和有效期（默认是30天，14字符长）。设置完毕后，授权用户就能查看到存储在AD内的密码了。