LAPS (Local Administrator Password Solution )Kurulumu

Laps domain üzerindeki tüm server ve clientların local admin hesaplarının merkezi bir şekilde yönetilmesini sağlamaktadır. Sunucuların local admin şifreleri tek bir yerde görüntülenir ve buradan değiştirebilir.

Kurulum öncesi notlar:

  • LAPS kurulumu DC’ye yapılması önerilmektedir.
  • Sağlıklı yönetim açısından tüm modülleri kurulmalıdır.
  • Policy ayarlarında “Name of administrator account to manage” username girilirse tüm clientlarda aynı isim olmak zorundadır.
  • Bazen policy etkili olabilmesi için sunucu veya clientları 2.kez restart etmek gerekebilir.

Geçelim LAPS kurulumuna…

Temelde işin 4 aşaması var;

1-Yönetim yapacak sunucu tarafına LAPS kurulumu ve
2-Schema Genişletme İşlemi
3-User ve Computer Permissions (Delegate işlemi)
4-Policy ile Clientlara dağıtımı

1.Laps Kurulumu

Sözleşmeyi kabul ediyoruz

Entire feature will be installed on local hard drive seçeneğini seçiyoruz.

Devam ediyoruz.

İnstall diyoruz.

Kurulumu tamamlıyoruz.

2-Schema Genişletme İşlemi

İşlemler için powershell kullanıyoruz.

Import-Module AdmPwd.Ps
Update-AdmPwdADSchema

Schema işlemi success olduğunu görüyoruz.
Active Directory üzerinden Attribute kontrolünü sağlıyoruz.

3-User ve Computer Permissions (Delegate işlemi)

3.1 User Permissions

LAPS uygulanacak OU’larda yetkileri görmek için;

Import-Module AdmPwd.Ps
Find-AdmPwdExtendedRights -Identity “Computers”

Görüldüğü gibi Computers OU’su üzerinde Domain Adminler default olarak yetkili gelmektedir.

Eğer farklı bir gruba yetki vermek istiyorsak;

Import-Module AdmPwd.Ps

Set-AdmPwdReadPasswordPermission -Identity “Computers” -AllowedPrincipals “Help Desk”

Bu örnekte “Help Desk” grubuna yetki vermiş olduk.

3.2 Computer Permissions

Şimdi, bilgisayarların Active Directory’deki yeni öznitelikleri ms-MCS-ADMPwd ve ms-Mcs-AdmPwdExpirationTime‘ı güncellemesine izin vermemiz gerekiyor.

Import-Module AdmPwd.Ps
Set-AdmPwdComputerSelfPermission -Identity “Computers”

Computers OU’sundaki clientlara şifrelerini güncellemeleri için izin vermiş olduk.

4-Policy ile Clientlara dağıtımı

Hangi OU’ya policy uygulayacaksak yeni bir tane policy oluşturduktan sonra ayarları aşağıdaki gibi yapılandırıyoruz.

Computer Configuration > Administrative Templates > LAPS

Password Settings çift tılıyoruz

Enable duruma getiriyoruz.

Kompleks şifre ayarını kendinize göre düzenleyebilirsiniz.

OK tıklıyoruz.

Do not allow password expiration time longer than required by policy tıklıyoruz.

OK tıklıyoruz.

Enable local admin password management tıklıyoruz.

Enable duruma getiriyoruz.

Her zaman aynı SID’ye sahip olduğu için built-in hesabı kullanmanızı öneririm, böylece yeniden adlandırılsa bile LAPS onu yönetebilir. Bu nedenle, Name of administrator account to manage etkinleştirmemize gerek yoktur. Eğer farklı bir local admin isminiz varsa notlarda gerekli açıklama yazmaktadır.

Policy’i hazırladıktan sonra LAPS setup’ını clientlara basıyoruz. Bunun için Software Installation kullanıyoruz.

Computer Configuration > Policies > Software Settings. üzerinden setup dosyasını gösteriyoruz.

Not: Dosya paylaşılmış bir yerde olmak zorundadır.

Not2: Eğer 32bit ve 64 bit setup aynı anda eklerseniz. 32 bit setup Sağ tık > Özelliklerden X86 uygulamasını Win64 makinelerinde kullanılabilir yap seçeneğini kaldırmayı unutmayın.
64 bit için birşey yapmanıza gerek yok o zaten sadece 64bit clientlara yükleyecektir.

LAPS kurulumu ve dağıtımı bu kadardı…

Şimdi kullanımı hakkında bir kaç bilgi verelim;

Client için local admin şifresini görmek için birkaç yöntem vardır.

Computer Attribute özelliklerinden gelip bakabilirsiniz.
LAPS uygulamasında client adını aratıp bulabilirsiniz.

Powershell ile şifre işlemleri:

Görüntüleme işlemi:

Get-AdmPwdPassword -ComputerName PIXEl-W10-01

Görüntülemek için bu komutu kullanıyoruz.
Güncel şifreyi görüntüleme işlemi

Resetleme işlemi:

Set-AdmPwdResetPasswordPermission -Identity “Computers” -AllowedPrincipals “Help Desk”

Resetleme işlemi için önce o gruba yetki veriyoruz.

Reset-AdmPwdPassword -ComputerName PIXEl-W10-01 -WhenEffective “06.09.2017 23:00”

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir