iT邦幫忙

0

請問LAPS儲存密碼的值一直是空的寫不進去 是哪裡出了問題

  • 分享至 

  • xImage

目前想要是在AD上讀取/重設Server的密碼
AD跟Server都架好了

首先安裝完LAPS.x64
之後在PowerShell下指令擴展屬性
import-module AdmPwd.PS
Update-AdmPwdADSchema
之後確認Ms-MCS-AdmPwd和Ms-MCS-AdmPwd-AdmPwdExpirationTime有擴展完成

接著給目標OU寫入這個值的權限 (假設存放Server電腦物件的OU叫ServerOU)
Set-AdmPwdComputerSelfPermission –OrgUnit "OU=ServerOU,dc=Domain"

給予特定帳號讀取密碼的權限 (假設帳號為SvrAdmin)
Set-AdmPwdReadPasswordPermission -OrgUnit “ServerOU” -AllowedPrincipals “SvrAdmin”

給予特定帳號重設密碼的權限 (假設帳號為SvrAdmin)
Set-AdmPwdResetPasswordPermission -OrgUnit “ServerOU” -AllowedPrincipals “SvrAdmin”

接著建立並連結GPO設定密碼規則
設定完成之後輸入指令確認ServerOU有哪些帳號有查詢密碼權限
Find-AdmPwdExtendedRights -OrgUnit “ServerOU” | %{$_.ExtendedRightHolders}
(確認Domain\SvrAdmin有權限)

到這邊目前是OK的
但打開LAPS UI輸入電腦名稱點Search後密碼那欄是空的
而按下Set會顯示Password Reset request was successful (但密碼欄還是空的)
使用PowerShell下指令Password欄也一樣是空的

我回到ServerOU內對電腦右鍵內容→屬性編輯器查看屬性的值
ms-Mcs-AdmPwd (未設定)
ms-Mcs-AdmPwdExpirationTime 有數值

ms-Mcs-AdmPwd是儲存密碼的值,空的代表密碼沒有儲存到,當然查密碼也是空的
ms-Mcs-AdmPwdExpirationTime是密碼過期時間的值,在我按下LAPS UI的Set就會出現
我用VMware重架一次AD和Server也是一樣結果
請問是哪個步驟出了問題呢?
麻煩各位前輩解惑,非常感謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答