Просмотр и сброс пароля локального администратора компьютера

Сервис «Пользователи и компьютеры» предоставляет возможность просмотра и сброса пароля локального администратора компьютера, обновляемого автоматически с помощью технологии Local Administrator Password Solution (LAPS).

Предварительные условия

По умолчанию все действия по управлению паролями локальных администраторов доступны участникам группы Domain Admins.

Для выдачи разрешений другим пользователям и группам необходимо добавить соответствующие записи (ACE) в список управления доступом к объекту компьютера или объекту подразделения (OU), который используется для управления учетными записями компьютеров.

Для этой цели может использоваться подкоманда samba-tool dsacl set (см. описание синтаксиса и параметров вызова подкоманды в разделе «Добавление записей в список управления доступом»).

Просмотр пароля локального администратора

Пароль локального администратора доступен для просмотра в разделе LAPS на карточке объекта компьютера.

Чтобы просмотреть пароль:

  1. Выполните вход в приложение от имени учетной записи, включенной в группу Domain Admins или обладающей разрешением на просмотр пароля локального администратора.

  2. В дереве каталога на панели навигации выберите контейнер, содержащий объект компьютера.

  3. В таблице рабочей области выберите запись о компьютере и на панели быстрого просмотра нажмите Открыть.

    view pc
    Рис. 1. Пример страницы просмотра атрибутов компьютера

  4. На странице просмотра атрибутов компьютера раскройте секцию LAPS.

    Если для компьютера отсутствует поддержка LAPS, в секции отображается сообщение: «Данные не были получены. Возможно, в схеме отсутствуют атрибуты LAPS». В этом случае операции просмотра и сброса пароля недоступны.

  5. В секции LAPS в поле Пароль LAPS нажмите значок closed eye icon.

    view laps password
    Рис. 2. Пример раздела «LAPS» с отображением пароля локального администратора

  6. При необходимости нажмите значок copy icon, чтобы скопировать пароль в буфер обмена.

    Полученный пароль может использоваться для входа на компьютер от имени учетной записи, указанной в поле Имя аккаунта LAPS.

  7. Для выхода из карточки компьютера нажмите Отменить.

Сброс пароля локального администратора

Пароль локального администратора может быть сброшен путем обнуления его срока действия в разделе LAPS на карточке объекта компьютера.

Чтобы сбросить пароль:

  1. Выполните вход в приложение от имени учетной записи, включенной в группу Domain Admins или обладающей разрешением на изменение срока действия пароля локального администратора.

  2. В дереве каталога на панели навигации выберите контейнер, содержащий объект компьютера.

  3. В таблице рабочей области выберите запись о компьютере и на панели быстрого просмотра нажмите Открыть.

    view pc
    Рис. 3. Пример страницы просмотра атрибутов компьютера

  4. На странице просмотра свойств компьютера раскройте секцию LAPS.

    Если для компьютера отсутствует поддержка LAPS, в секции отображается сообщение: «Данные не были получены. Возможно, в схеме отсутствуют атрибуты LAPS». В этом случае операции просмотра и сброса пароля недоступны.

  5. В секции LAPS в строке с временем и датой истечения срока действия пароля нажмите Истекает сейчас или вручную укажите в полях значения в прошлом.

    view laps password expires now
    Рис. 4. Пример раздела «LAPS»

  6. Нажмите Сохранить.

В результате операции для компьютера генерируется и добавляется в LDAP новый пароль локального администратора.