- 创建了一个新组
DOMAIN\LapsAdmins。目前空着。 - 配置 GPO
Configure Authorized password decryptors以指向我的组DOMAIN\LapsAdmins - 强制
server1为本地管理员帐户创建新的加密密码 Get-LapsADPassword server1 -AsPlainText -IncludeHistory
正如预期的那样,我的用户DOMAIN\dtrevor无法解密密码。
- 已添加
DOMAIN\dtrevor至群组DOMAIN\LapsAdmins - 使用用户注销并登录
DOMAIN\dtrevor Get-LapsADPassword server1 -AsPlainText -IncludeHistory
正如预期的那样,我的用户DOMAIN\dtrevor可以解密并查看所有密码,包括当前密码和整个密码历史记录
DOMAIN\dtrevor已从群组中删除DOMAIN\LapsAdmins- 使用用户注销并登录
DOMAIN\dtrevor gpupdate /force继续跑server1- 强制
server1为本地管理员帐户创建新的加密密码 Get-LapsADPassword server1 -AsPlainText -IncludeHistory
出乎意料的是,我的用户DOMAIN\dtrevor仍然可以解密并查看所有密码,包括新生成的密码以及整个密码历史记录。为什么?
微软的 Jay Simmons 在有关新 LAPS 的官方博客文章中回答了这个问题。答案在第7页的评论部分。
问题中提到的行为是由于 DPAPI 的缓存机制造成的。
这意味着只要缓存的密钥保留在本地计算机上,用户仍然可以解密旧密码。实际上,这似乎没什么大不了的,因为当您想要撤销访问权限时,您还会从 AD 字段中删除 ACL,因此用户首先无法访问加密值。