Просмотр и сброс пароля локального администратора компьютера

Сервис «Пользователи и компьютеры» предоставляет возможность просмотра и сброса пароля локального администратора компьютера, обновляемого автоматически с помощью технологии Local Administrator Password Solution (LAPS).

Предварительные требования

Для работы с паролями локальных администраторов в сервисе «Пользователи и компьютеры» должен быть выполнен ряд требований.

Настройка функциональности LAPS

В службе каталогов должно быть настроено управление паролями локальных администраторов, включая расширение схемы данных каталога дополнительными атрибутами, установку и настройку PAM-модуля на клиентских устройствах с ОС Linux, а также настройку и применение групповой политики на машинах в домене (см. «Настройка LAPS»).

Права доступа

По умолчанию все действия по управлению паролями локальных администраторов доступны участникам группы Domain Admins.

Для выдачи разрешений другим пользователям и группам необходимо добавить соответствующие записи (ACE) в список управления доступом к объекту компьютера или объекту подразделения (OU), который используется для управления учетными записями компьютеров.

Для этой цели может использоваться подкоманда samba-tool dsacl set (см. описание синтаксиса и параметров вызова подкоманды в разделе «Добавление записей в список управления доступом»).

Доступность истории паролей

История паролей локального администратора доступна для просмотра в карточке компьютера, если:

используются зашифрованные пароли;
с помощью групповой политики настроена ненулевая длина истории паролей (атрибут ADEncryptedPasswordHistorySize; по умолчанию он имеет нулевое значение — см. описание атрибута и подкоманды для работы с групповой политикой в «Управление групповыми политиками LAPS»).

Просмотр пароля локального администратора

Пароль локального администратора доступен для просмотра в разделе LAPS на карточке объекта компьютера.

Чтобы просмотреть пароль:

Выполните вход в приложение от имени учетной записи, включенной в группу Domain Admins или обладающей разрешением на просмотр пароля локального администратора.
В дереве каталога на панели навигации выберите контейнер, содержащий объект компьютера.
В таблице рабочей области выберите запись о компьютере и на панели быстрого просмотра нажмите Открыть.

Рис. 1. Пример страницы просмотра атрибутов компьютера

На странице просмотра атрибутов компьютера раскройте секцию LAPS.

Если для компьютера отсутствует поддержка LAPS, в секции отображается сообщение: «Данные не были получены. Возможно, в схеме отсутствуют атрибуты LAPS». В этом случае операции просмотра и сброса пароля недоступны.

В секции LAPS в поле Пароль LAPS нажмите значок .

Рис. 2. Пример раздела «LAPS» с отображением пароля локального администратора
При необходимости нажмите значок , чтобы скопировать пароль в буфер обмена.

Полученный пароль может использоваться для входа на компьютер от имени учетной записи, указанной в поле Имя аккаунта LAPS.
Для выхода из карточки компьютера нажмите Отменить.

Сброс пароля локального администратора

Пароль локального администратора может быть сброшен путем обнуления его срока действия в разделе LAPS на карточке объекта компьютера.

Чтобы сбросить пароль:

Выполните вход в приложение от имени учетной записи, включенной в группу Domain Admins или обладающей разрешением на изменение срока действия пароля локального администратора.
В дереве каталога на панели навигации выберите контейнер, содержащий объект компьютера.
В таблице рабочей области выберите запись о компьютере и на панели быстрого просмотра нажмите Открыть.

Рис. 3. Пример страницы просмотра атрибутов компьютера

На странице просмотра свойств компьютера раскройте секцию LAPS.

В секции LAPS в строке с временем и датой истечения срока действия пароля нажмите Истекает сейчас или вручную укажите в полях значения в прошлом.

Рис. 4. Пример раздела «LAPS»
Нажмите Сохранить.

В результате операции для компьютера генерируется и добавляется в LDAP новый пароль локального администратора.

Просмотр истории паролей

История паролей локального администратора может использоваться для восстановления доступа к устройству, например, после восстановления из резервной копии или несинхронной смены пароля, когда локально и в службе каталогов оказались разные значения. Также она может помочь при расследовании инцидентов (сопоставление логов с действовавшим на тот момент паролем), при миграциях и тестировании политик ротации, а также для аудита соблюдения требований по смене паролей.

История паролей локального администратора на конкретном устройстве доступна для просмотра в разделе LAPS на карточке объекта компьютера.

Чтобы просмотреть историю паролей:

Выполните вход в приложение от имени учетной записи, включенной в группу Domain Admins или обладающей разрешением на просмотр пароля локального администратора.
В дереве каталога на панели навигации выберите контейнер, содержащий объект компьютера.
В таблице рабочей области выберите запись о компьютере и на панели быстрого просмотра нажмите Открыть.

Рис. 5. Пример страницы просмотра атрибутов компьютера

На странице просмотра атрибутов компьютера раскройте секцию LAPS.

В секции LAPS нажмите на ссылку История паролей.

Рис. 6. Пример раздела «LAPS» с отображением пароля локального администратора
Если групповой политикой установлена ненулевая длина истории зашифрованных паролей локальных администраторов, отобразится диалоговое окно с информацией о паролях, сгруппированной по столбцам:
- Имя аккаунта LAPS — имя учетной записи локального администратора;
- Пароль LAPS — расшифрованный пароль;
- Дата изменения пароля LAPS — дата и время изменения пароля.
Рис. 7. Пример диалогового окна с историей паролей локального администратора
Если пароль не изменялся или групповой политикой не установлена ненулевая длина истории паролей, таблица в диалоговом окне пустая.

Рис. 8. Пример диалогового окна с пустой историей паролей локального администратора
Для выхода из диалогового окна нажмите Закрыть.
Для выхода из карточки компьютера нажмите Отменить.