Windows 本地管理员密码解决方案 (Windows LAPS) 包括 LAPS PowerShell 模块。 了解其 cmdlet、功能,以及它们与旧版 Microsoft LAPS cmdlet 的比较方式,以帮助安全地管理密码。
Cmdlet 说明和用法
下表介绍了 LAPS PowerShell 模块中提供的 cmdlet:
| 名称 | DESCRIPTION |
|---|---|
Get-LapsAADPassword |
查询 Microsoft Entra ID 以获取 Windows LAPS 密码。 |
Get-LapsDiagnostics |
收集用于调查问题的诊断信息。 |
Find-LapsADExtendedRights |
发现哪些标识已被授予 Windows Server Active Directory 中组织单位 (OU) 的权限。 |
Get-LapsADPassword |
查询 Windows Server Active Directory for Windows LAPS 密码。 |
Invoke-LapsPolicyProcessing |
启动策略处理周期。 |
Reset-LapsPassword |
启动即时密码轮换。 将密码备份到 Microsoft Entra ID 或 Windows Server Active Directory 时使用。 |
Set-LapsADAuditing |
在 Windows Server Active Directory 中的 OU 上配置与 Windows LAPS 相关的审核。 |
Set-LapsADComputerSelfPermission |
在 Windows Server Active Directory 中配置 OU 以允许计算机对象更新其 Windows LAPS 密码。 |
Set-LapsADPasswordExpirationTime |
在 Windows Server Active Directory 中更新计算机的 Windows LAPS 密码过期时间。 |
Set-LapsADReadPasswordPermission |
授予读取 Windows Server Active Directory 中的 Windows LAPS 密码信息的权限。 |
Set-LapsADResetPasswordPermission |
授予在 Windows Server Active Directory 中更新 Windows LAPS 密码过期时间的权限。 |
Update-LapsADSchema |
使用 Windows LAPS 架构属性扩展 Windows Server Active Directory 架构。 |
小窍门
无论密码当前是备份到 Microsoft Entra ID 还是 Windows Server Active Directory,这些
Invoke-LapsPolicyProcessing和Reset-LapsPasswordcmdlet 都不会受到影响。 在此方案中,支持这两个选项。使用
-Verbose参数时,Windows LAPS PowerShell 模块中的所有 cmdlet 都支持详细的日志记录。
有关每个 cmdlet 的更多详细信息,请参阅 LAPS PowerShell 模块。
比较 Windows LAPS 和旧版 Microsoft LAPS PowerShell
旧版Microsoft LAPS 包括一个名为 AdmPwd.PSPowerShell 模块。 这两个模块具有许多功能相似性,但它们也有许多差异。 此表提供两个模块之间的映射:
| Windows LAPS cmdlet | 旧版 Microsoft LAPS cmdlet |
|---|---|
Get-LapsAADPassword |
不適用 |
Get-LapsDiagnostics |
不適用 |
Find-LapsADExtendedRights |
Find-AdmPwdExtendedRights |
Get-LapsADPassword |
Get-AdmPwdPassword |
Invoke-LapsPolicyProcessing |
不適用 |
Reset-LapsPassword |
不適用 |
Set-LapsADAuditing |
Set-AdmPwdAuditing |
Set-LapsADComputerSelfPermission |
Set-AdmPwdComputerSelfPermission |
Set-LapsADPasswordExpirationTime |
Reset-AdmPwdPassword |
Set-LapsADReadPasswordPermission |
Set-AdmPwdReadPasswordPermission |
Set-LapsADResetPasswordPermission |
Set-AdmPwdResetPasswordPermission |
Update-LapsADSchema |
Update-AdmPwdADSchema |
除了与命名相关的更改,适用于 Windows Server Active Directory 的 Windows LAPS PowerShell cmdlet 还针对一组完全不同的架构扩展运行。 有关详细信息,请参阅 Windows LAPS 架构扩展参考。