Microsoft 本地管理员密码如何获取

Active Directory Administrative Cente

首先我们需要用到以下工具: Active Directory Administrative Center

如果通过LAPS 查询不到密码可以通过Attribute Editor获取 字符串密码

还可以使用Get-AdmPwdPassword PowerShell cmdlet 查看到期日期：

Import-Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName $Target-Computer-Name

密码过期后客户端多久会更改本地管理员密码？

一旦客户端系统上运行下一次组策略刷新，存储在 AD 中的密码就会更新。

我可以指定 LAPS 在客户端上使用的密码吗？

不会。LAPS 会随机化密码，以防止传递哈希攻击。它还会确保定期更改本地管理员密码。向多个客户端强制使用指定密码会破坏其中一项或多项安全保护措施。

如果有人更改了本地管理员密码，LAPS 是否会检测？

不幸的是，不行。LAPS 组策略客户端扩展仅检查密码是否已过期。它不会验证 AD 中存储的密码是否与当前本地管理员密码相同。如果计算机仍加入域，您可以在 LAPS UI 中强制重置，这将在下次刷新组策略时更新 AD 中的密码。

如果具有本地管理员权限的用户更改了密码，LAPS 是否可以重新应用存储在 Active Directory 中的密码？

否。LAPS 组策略客户端扩展仅检查存储在 AD 中的到期日期。如果到期日期已过，它会更改本地管理员密码并更新 AD。它不会检查密码是否已从存储在 AD 中的密码更改，因此不知道密码是否已更改。