HOWTO: 使用 Intune 为 Windows 启用本地管理员

    前面 gOxiA 与大家分享了“HOWTO: 启用本地 Windows Autopilot 重置设备”，文中提到要使用该功能必须要启用本地管理员。对基于 Intune 管理的 Windows PC 来说实施起来并不复杂，今天我们就快速熟悉这一操作流程。

        在 Intune 管理中心 转至 设备-配置-策略，新建策略，平台为 Windows 10 和更高版本，配置文件类型为 设置目录。

        在 设置选取器 中找到 本地策略安全选项，然后勾选“账户 - 启用 Administrator 账户状态”。

        该策略对应的 CSP 为 Accounts_EnableAdministratorAccountStatus，详细信息如下：

./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

格式：Int

值：1 启用；0 禁用（默认）

        需要注意：如果在禁用管理员帐户后尝试重新启用管理员帐户，并且当前管理员密码不符合密码要求，则无法重新启用该帐户。

        最后分配该策略，例如：所有设备，完成这些操作即完成配置。出于安全性考虑，我们也可以同时勾选“账户 - 重命名 Administrator 账户”，以降低穷举类的攻击。该策略对应的 CSP 为 Accounts_RenameAdministratorAccount，详细信息如下：

./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

格式：chr

        虽然很轻松的完成了启用本地管理员的配置，但本地管理员的密码管理问题不容忽视。在过去我们需要编写一个脚本来配置本地管理员（Administrator）的密码，但无法实现动态维护，且存在一些安全隐患。现在，Microsoft Entra（AAD）内置了 LAPS（Windows Local Administrator Password Solution）的支持，可以很轻松的实现本地管理员密码轮换和管理，针对 LAPS 的启用会另起一篇日志与大家分享。