LAPS (Local Administrator Password Solution) в AD
LAPS позволяет управлять локальными паролями на ПК в домене. Для каждого ПК генерируется случайный пароль, который администратор может посмотреть через GUI.
Тут можно скачать LAPS. Нужно установить его на сервере, где вы хотите смотреть пароли. Скачать стоит и x64, и x32 версии — мы так же будем устанавливать на рабочие станции.
Для администратора установим LAPS с такими настройками

Fat Client UI – GUI утилита для быстрого поиска ПК в домене
PowerShell Module – подгружаемый модуль для LAPS через PowerShell
GPO Editor templates – административные шаблоны для управления настройками модуля LAPS на клиентах
LAPS использует два атрибута для хранения нужных данных – это ms-Mcs-AdmPwd
, который используется для хранения пароля, и ms-Mcs-AdmPwdExpirationTime
в котором хранится время истечения действия пароля. Для того, чтобы они появились в схеме — её нужно обновить!
Для этого открываем powershell на сервере AD и вводим две команды:
Import-module AdmPwd.PS
Update-AdmPwdADSchema
Настройка прав
Если вы будите смотреть только под доменным администратором — смело пропускайте этот раздел!
Для настройки возможности видеть пароль конкретным пользователям и группам нужно сначала отключить «Все расширенные права» в OU.
Первое что нужно сделать — создать новый OU (подразделение) в Active Directory — пользователи и домены и переместить туда все ПК, которыми вы хотите управлять.
Далее запускаем ADSIEdit, правый клик мышью по созданному OU -> свойства, переходим во вкладку Безопасность и нажимаем дополнительно.
Выбираем нужную группу и редактируем права. Если «Все расширенные права» установлены — пользователь получит доступ к атрибутам, что не рекомендуется microsoft.
Чтобы посмотреть список пользователей с правами LAPS введите в powershell:
Find-AdmPwdExtendedrights -identity <имя OU> | Format-Table
Так же нужно дать права доступа машинам на изменения своих атрибутов, чтобы машина могла изменить пароль и время его истечения. Открываем powershell и:
Set-AdmPwdComputerSelfPermission -OrgUnit <Имя OU>
Если нужно, чтобы пользователь мог читать пароли — введите в powershell:
Set-AdmPwdReadPasswordPermission -OrgUnit <Имя OU> -AllowedPrincipals <пользователь или группа>
GPO
Создадим новую групповую политику. Переходим в Computer Configuration\Administrative Templates\LAPS .
Enable local admin password management – включение локального клиента LAPS. Если не включен, но установлен, то работать не будет – надо и установить, и включить. Про установку поговорим позднее.
Password Settings – настройки сложности пароля и времени автоматической замены.
Name of administrator account to manage – если вы используете LAPS для управления учёткой админа с отличным от стандарта именем, то введите его сюда.
Do not allow password expiration time longer than required by policy – Это специфичная настройка, нужная для разрешения конфликтов в Password Settings установлено одно время смены пароля, а вручную в атрибуте ms-Mcs-AdmPwdExpirationTime
– другое. Включаем.
Далее нужно разлить установочные пакеты LAPS на компьютеры в домене. Можно использовать GPO или любые другие доступные вам инструменты централизованного управления.
Чтобы заработало нужно, чтобы пользователь после установки ещё раз перезагрузился. Если не торопитесь — через 1-2 дня будет работать у всех.
Всякое и решение проблем
Команды ps не выполняются!
Перед вводом команд выполните: Import-module AdmPwd.PS
Как включить логи?
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\
создать dword ключ со значением 1 (ошибки) или 2 (ошибки и предупреждения)
Ошибка » Could not write changed password to AD. Error 0x80070032 » eventid 7, что делать?
- Проверьте, что ПК находится в нужно OU и на него распространяется GPO и сделайте gpupdate /force, проверьте что пакет установился на клиенте;
- Если всё верно: выполните regsvr32 schmmgmt.dll , откройте mmc и добавьте консоль «Схема AD». В свойствах класса computer перейдите в «Безопасность по умолчанию» — «Дополнительно» и добавьте разрешение субъекту self. Снимите все галочки и поставьте «Применяется к» — Только этот объект, установите галочки на ms-Mcs-AdmPwdEpirationTime, ms-Mcs-AdmPwd и на чтение, и на запись;
- Если после всего этого не получилось — выведите компьютер из домена, удалите его запись и введите заново.
Как вести аудит доступа?
Set-AdmPwdAuditing –OrgUnit: <имя OU> -AuditedPrincipals: :<пользователь/группа, доступ к которых должен быть записан>
После ввода команды выше на контроллере домена будут появляться события 4662