Как работает защита учетных записей локальных администраторов на компьютерах с помощью LAPS?

LAPS (Local Administrator Password Solution) — функция Windows, которая автоматически генерирует, управляет и защищает пароли локальной учётной записи администратора. softcomputers.org

Система состоит из трёх компонентов: habr.com

1. Агент — расширение групповой политики, которое устанавливается на все управляемые ПК. habr.com Отвечает за генерацию пароля и сохранение его в соответствующем объекте Active Directory (AD). habr.com
2. Модуль PowerShell — используется для настройки LAPS. habr.com
3. Active Directory — хранит пароль локального администратора. habr.com

Агент вызывается при каждом обновлении групповой политики и выполняет следующие задачи: habr.com

• Проверяет, не истёк ли срок действия пароля локального администратора. habr.com rezbez.ru
• Генерирует новый пароль, если текущий истёк или требуется его замена до истечении срока действия. habr.com rezbez.ru
• Меняет пароль локального администратора. habr.com
• Сохраняет пароль в соответствующем атрибуте объекта AD. habr.com
• Сохраняет срок действия пароля в соответствующем атрибуте объекта AD. habr.com

С использованием LAPS могут быть настроены следующие параметры: rezbez.ru

• имя учётной записи локального администратора (по умолчанию встроенный пользователь — Administrator); rezbez.ru
• сложность пароля; rezbez.ru
• длина пароля; rezbez.ru
• максимальный срок действия пароля. rezbez.ru

Использование LAPS помогает защитить устройства Windows от атак, направленных на использование локальных учётных записей пользователей. github.com