目前想要是在AD上讀取/重設Server的密碼
AD跟Server都架好了
首先安裝完LAPS.x64
之後在PowerShell下指令擴展屬性
import-module AdmPwd.PS
Update-AdmPwdADSchema
之後確認Ms-MCS-AdmPwd和Ms-MCS-AdmPwd-AdmPwdExpirationTime有擴展完成
接著給目標OU寫入這個值的權限 (假設存放Server電腦物件的OU叫ServerOU)
Set-AdmPwdComputerSelfPermission –OrgUnit "OU=ServerOU,dc=Domain"
給予特定帳號讀取密碼的權限 (假設帳號為SvrAdmin)
Set-AdmPwdReadPasswordPermission -OrgUnit “ServerOU” -AllowedPrincipals “SvrAdmin”
給予特定帳號重設密碼的權限 (假設帳號為SvrAdmin)
Set-AdmPwdResetPasswordPermission -OrgUnit “ServerOU” -AllowedPrincipals “SvrAdmin”
接著建立並連結GPO設定密碼規則
設定完成之後輸入指令確認ServerOU有哪些帳號有查詢密碼權限
Find-AdmPwdExtendedRights -OrgUnit “ServerOU” | %{$_.ExtendedRightHolders}
(確認Domain\SvrAdmin有權限)
到這邊目前是OK的
但打開LAPS UI輸入電腦名稱點Search後密碼那欄是空的
而按下Set會顯示Password Reset request was successful (但密碼欄還是空的)
使用PowerShell下指令Password欄也一樣是空的
我回到ServerOU內對電腦右鍵內容→屬性編輯器查看屬性的值
ms-Mcs-AdmPwd (未設定)
ms-Mcs-AdmPwdExpirationTime 有數值
ms-Mcs-AdmPwd是儲存密碼的值,空的代表密碼沒有儲存到,當然查密碼也是空的
ms-Mcs-AdmPwdExpirationTime是密碼過期時間的值,在我按下LAPS UI的Set就會出現
我用VMware重架一次AD和Server也是一樣結果
請問是哪個步驟出了問題呢?
麻煩各位前輩解惑,非常感謝