别再只会调速度了!深入理解STM32的PWM如何通过L298N精准控制直流电机扭矩与方向
2026/5/11 20:31:41
1. 为什么你需要Microsoft LAPS?
想象一下这样的场景:公司里有几百台电脑,每台电脑的本地管理员密码都是相同的"Admin123"。某天某台电脑被入侵,攻击者就能用这个密码轻松控制所有机器。这就是为什么我们需要Microsoft LAPS(本地管理员密码解决方案)。
我在管理大型企业网络时,最头疼的就是密码管理。传统做法要么所有机器用同一个密码(安全噩梦),要么手动为每台机器设置不同密码(管理噩梦)。LAPS完美解决了这个问题,它能:
- 自动为每台电脑生成随机密码
- 将密码加密存储在Active Directory中
- 按设定周期自动更换密码
- 精确控制谁能查看密码
实测下来,部署LAPS后,我们处理密码相关问题的工单减少了90%。下面我会手把手教你如何用GPO和PowerShell批量部署,这个方法在500+节点的环境中验证过,绝对靠谱。
2. 部署前的准备工作
2.1 环境检查清单
在开始前,请确认你的环境满足这些要求:
- Active Directory架构:至少是Windows Server 2003 SP1级别
- 管理机:需要安装.NET 4.0和PowerShell 2.0+
- 客户端:支持从Windows 7/Server 2008到最新版本
- 权限:Schema Admins组权限(用于架构扩展)
我遇到过最典型的坑是权限问题。有一次花了2小时排查才发现用的账户没加Schema Admins组。建议先用这个命令检查:
whoami /groups | find "Schema Admins"2.2 软件包准备
从微软官网下载两个关键文件:
- LAPS安装包(x86和x64版本)
- LAPS管理工具包
建议在文件服务器创建共享文件夹存放这些安装包,比如\\fileserver\software$\LAPS。这样后续GPO部署时直接引用网络路径即可。
3. 通过GPO批量部署LAPS客户端
3.1 创建软件分发GPO
打开组策略管理控制台(gpmc.msc),按这个流程操作:
- 右键你的域 → "新建GPO并在此链接"
- 命名如"LAPS Client Deployment"
- 右键策略 → 编辑 → 计算机配置 → 策略 → 软件安装
- 右键"新建包" → 选择网络路径上的.msi文件
关键技巧:同时添加x86和x64包时,一定要在x86包的属性里取消勾选"使此32位应用可用于Win64计算机",否则64位机器会装错版本。
3.2 验证安装效果
策略生效后(默认90分钟,可手动运行gpupdate /force),在客户端检查:
- 控制面板 → 程序和功能 → 应看到"Local Administrator Password Solution"
- 检查C:\Program Files\LAPS\CSE\AdmPwd.dll是否存在
遇到过安装失败的情况?试试这个排错命令:
Get-WinEvent -LogName Application | Where-Object {$_.Message -like "*LAPS*"} | Format-List4. 扩展AD架构与权限配置
4.1 架构扩展操作
这是最关键的步骤,需要Schema Admins权限。打开管理员PowerShell:
Import-Module AdmPwd.PS Update-AdmPwdADSchema看到"Success"才算成功。我在某次迁移项目中发现,如果架构主机是旧版Windows Server,可能需要先打补丁KB3051443。
4.2 设置计算机自更新权限
让计算机能自己更新密码属性:
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Workstations,DC=contoso,DC=com"注意:要对所有包含计算机账号的OU都执行此操作。建议先用Get-ADOrganizationalUnit列出所有OU,再批量处理。
4.3 配置密码读取权限
限制只有特定人员能查看密码:
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Servers,DC=contoso,DC=com" -AllowedPrincipals "HelpDesk_Team"曾经有客户反映密码看不到,就是因为漏了这一步。可以用这个命令检查权限:
Find-AdmPwdExtendedRights -Identity "OU=Servers,DC=contoso,DC=com"5. 配置LAPS组策略设置
5.1 创建专用GPO
建议新建单独的GPO(如"LAPS Settings")来管理密码策略,方便后续调整。主要配置以下几个关键项:
| 策略路径 | 设置项 | 推荐值 |
|---|---|---|
| 计算机配置→策略→管理模板→LAPS | 启用本地管理员密码管理 | 已启用 |
| 同上 | 密码设置 | 复杂度:大写+小写+数字+符号 长度:14-16位 有效期:30天 |
5.2 特殊场景处理
如果环境中有这些情况需要特别注意:
- RODC:需要修改searchFlags属性
- 自定义管理员账户名:在策略中指定账户名
- 第三方密码管理工具:可能需要调整密码加密方式
遇到过密码不更新的问题?检查客户端事件日志,过滤事件ID 10016和10017。
6. 日常管理与排错技巧
6.1 常用PowerShell命令
这些命令我每天都会用到:
# 查看某台机器的密码 Get-AdmPwdPassword -ComputerName "PC001" # 强制重置密码 Reset-AdmPwdPassword -ComputerName "PC001" # 检查密码过期时间 Get-AdmPwdPassword -ComputerName "PC001" | Select-Object ExpirationTimestamp6.2 图形化管理工具
除了命令行,LAPS还提供了GUI工具(AdmPwd.UI.exe),位置在:
C:\Program Files\LAPS\AdmPwd.UI.exe双击运行后输入计算机名就能查看密码,特别适合给Helpdesk团队使用。
6.3 常见问题解决方案
问题1:密码显示为空白
- 检查用户是否有读取权限
- 确认客户端CSE正常运行(服务名为AdmPwd)
问题2:密码不符合复杂度要求
- 检查GPO中的密码策略设置
- 确认没有其他密码策略冲突
问题3:架构扩展失败
- 确认账户在Schema Admins组
- 检查架构主机是否在线
- 尝试手动复制架构文件
7. 安全加固建议
部署完成后,建议再做这些加固措施:
- 定期审计密码读取权限
- 监控异常密码查询行为
- 将LAPS与SIEM系统集成
- 限制本地管理员账户的登录范围
我在实际环境中发现,配合Windows Defender ATP使用效果更好,可以实时监控对本地管理员账户的异常登录行为。