Laps domain üzerindeki tüm server ve clientların local admin hesaplarının merkezi bir şekilde yönetilmesini sağlamaktadır. Sunucuların local admin şifreleri tek bir yerde görüntülenir ve buradan değiştirebilir.
Kurulum öncesi notlar:
- LAPS kurulumu DC’ye yapılması önerilmektedir.
- Sağlıklı yönetim açısından tüm modülleri kurulmalıdır.
- Policy ayarlarında “Name of administrator account to manage” username girilirse tüm clientlarda aynı isim olmak zorundadır.
- Bazen policy etkili olabilmesi için sunucu veya clientları 2.kez restart etmek gerekebilir.
Geçelim LAPS kurulumuna…
Temelde işin 4 aşaması var;
1-Yönetim yapacak sunucu tarafına LAPS kurulumu ve
2-Schema Genişletme İşlemi
3-User ve Computer Permissions (Delegate işlemi)
4-Policy ile Clientlara dağıtımı
1.Laps Kurulumu
Sözleşmeyi kabul ediyoruz
Entire feature will be installed on local hard drive seçeneğini seçiyoruz.
Devam ediyoruz.
İnstall diyoruz.
Kurulumu tamamlıyoruz.
2-Schema Genişletme İşlemi
İşlemler için powershell kullanıyoruz.
Import-Module AdmPwd.Ps
Update-AdmPwdADSchema
3-User ve Computer Permissions (Delegate işlemi)
3.1 User Permissions
LAPS uygulanacak OU’larda yetkileri görmek için;
Import-Module AdmPwd.Ps
Find-AdmPwdExtendedRights -Identity “Computers”
Eğer farklı bir gruba yetki vermek istiyorsak;
Import-Module AdmPwd.Ps
Set-AdmPwdReadPasswordPermission -Identity “Computers” -AllowedPrincipals “Help Desk”
3.2 Computer Permissions
Şimdi, bilgisayarların Active Directory’deki yeni öznitelikleri ms-MCS-ADMPwd ve ms-Mcs-AdmPwdExpirationTime‘ı güncellemesine izin vermemiz gerekiyor.
Import-Module AdmPwd.Ps
Set-AdmPwdComputerSelfPermission -Identity “Computers”
4-Policy ile Clientlara dağıtımı
Hangi OU’ya policy uygulayacaksak yeni bir tane policy oluşturduktan sonra ayarları aşağıdaki gibi yapılandırıyoruz.
Computer Configuration > Administrative Templates > LAPS
Password Settings çift tılıyoruz
Enable duruma getiriyoruz.
OK tıklıyoruz.
Do not allow password expiration time longer than required by policy tıklıyoruz.
Enable local admin password management tıklıyoruz.
Her zaman aynı SID’ye sahip olduğu için built-in hesabı kullanmanızı öneririm, böylece yeniden adlandırılsa bile LAPS onu yönetebilir. Bu nedenle, Name of administrator account to manage etkinleştirmemize gerek yoktur. Eğer farklı bir local admin isminiz varsa notlarda gerekli açıklama yazmaktadır.
Policy’i hazırladıktan sonra LAPS setup’ını clientlara basıyoruz. Bunun için Software Installation kullanıyoruz.
Computer Configuration > Policies > Software Settings. üzerinden setup dosyasını gösteriyoruz.
Not: Dosya paylaşılmış bir yerde olmak zorundadır.
Not2: Eğer 32bit ve 64 bit setup aynı anda eklerseniz. 32 bit setup Sağ tık > Özelliklerden X86 uygulamasını Win64 makinelerinde kullanılabilir yap seçeneğini kaldırmayı unutmayın.
64 bit için birşey yapmanıza gerek yok o zaten sadece 64bit clientlara yükleyecektir.
LAPS kurulumu ve dağıtımı bu kadardı…
Şimdi kullanımı hakkında bir kaç bilgi verelim;
Client için local admin şifresini görmek için birkaç yöntem vardır.
Powershell ile şifre işlemleri:
Görüntüleme işlemi:
Get-AdmPwdPassword -ComputerName PIXEl-W10-01
Görüntülemek için bu komutu kullanıyoruz.
Resetleme işlemi:
Set-AdmPwdResetPasswordPermission -Identity “Computers” -AllowedPrincipals “Help Desk”
Resetleme işlemi için önce o gruba yetki veriyoruz.
Reset-AdmPwdPassword -ComputerName PIXEl-W10-01 -WhenEffective “06.09.2017 23:00”
