Local admin password ของทุกเครื่อง เราตั้งไว้ว่าอะไร? ถ้าใช้ไม่เหมือนกัน จำได้ไหมว่าแต่ละเครื่องใช้อะไร? ถ้าใช้ไม่เหมือนกัน + จำได้ด้วย แต่เราเปลี่ยน password เป็นประจำไหม?
Microsoft จะมี free tool อยู่ตัวนึงชื่อว่า LAPS หรือ Local Administrator Password Solutions (LAPS) ซึ่งเมื่อเราติดตั้ง LAPS แล้วขยาย AD Schema จะทำให้ computer object มี attribute ใหม่เพิ่มเข้ามา 2 ตัว ใช้เก็บ local admin password และวันหมดอายุครับ
GPO client side extension (CSE) ของ LAPS จะถูกติดตั้งบน client ทุกครั้งเมื่อถึงรอบ GPO refresh interval เขาจะตรวจสอบว่า local admin password หมดอายุหรือยัง ถ้าหมดแล้ว ก็จะ generate local admin password ใหม่ แล้วอัพเดทไปเก็บไว้บน Active Directory
ส่วนตอนนี้ Windows รุ่นใหม่จะมี Windows LAPS built-in มาเลย ไม่ต้องติดตั้ง CSE ลงบน client แล้ว
