Microsoft LAPS yükleme ve yapılandırma – Bölüm 2

Okuma süresi - 4 dk.


Bu makalenin ilk bölümünde, Active Directory ortamınızda Microsoft Local Administrator Password Solution’un (LAPS) nasıl yükleneceğini ve AD Schema genişletme adımlarını gösterdik. Bunu henüz okumadıysanız, bu bağlantıyı izleyerek başlayın. Bu yazıda ise AD ortamınıza nasıl dağıtacağınız hakkında konuşacağız. İlk olarak GPO ile ilgili adımları tamamlamamız gerekiyor.

Microsoft LAPS Group Policy ayarları nasıl yapılandırılır?

Yeni bir GPO nesnesi oluşturmanız ve bu nesneyi, local administrator şifrelerini yönetmek istediğiniz bilgisayarları içeren OU’ya bağlamanız gerekir.

GPO yönetimi için LAPS administrative template dosyalarını kopyalayabilirsiniz. (%WINDIR%\PolicyDefinitions\AdmPwd.admx ve %WINDIR%\PolicyDefinitions\en-US\AdmPwd.adml) Group Policy Central Store — \\contoso.com\Sysvol\Policies\PolicyDefinition

Aşağıdaki komutu kullanarak Password_Administrador_Local adında bir policy oluşturun.

Register-AdmPwdWithGPO -GpoIdentity: Password_Administrador_Local

Bu policy’i açın ve aşağıdaki GPO bölümüne gidin.

Computer Configuration → Administrative Templates → LAPS

Gördüğümüz gibi 4 özelleştirilebilir ayar var. Bunları aşağıda gösterildiği gibi yapılandırın.

  • Enable local admin password management – Enabled (LAPS password management policy’i etkinleştirir)
  • Password Settings –  Enabled – Password complexity, length ve age’yi ayarlar. Active Directory user password policy gereksinimlerine benzer.

1 – Complexity – Büyük harfler, küçük harfler, sayılar, özel harfler
2 – Length – 12 karakter
3 – Age – 30 gün

  • Name of administrator account to manage – Not Configured (Burada parolayı değiştirmek için yönetici hesabının adını belirleyebilirsiniz. Varsayılan olarak, SID-500 bulunan built-in administrator hesaplarının parolası değiştirilir.)
  • Do not allow password expiration time longer than required by policy – Enabled

Desktop_OU’ya Password_Administrator_Local politikasını atayın.

GPO ile Domain Computers’lere LAPS yükleme

GPO’yu yapılandırdıktan sonra, LAPS istemci bölümünü etki alanı bilgisayarlarına yükleme zamanı geldi. LAPS istemcisi farklı şekillerde dağıtılabilir. Tek tek kurulum yaparak, SCCM task olarak, logon script vb. yoluyla.. Örneğimizde, MSI dosyasını group policy ile yükleme özelliğini kullanarak yükleyeceğiz.

Bir dosya sunucusunda, paylaşılan klasörü oluşturun veya etki alanı denetleyicisindeki SYSVOL klasörünü kullanın. LAPS msi dosyalarını bu klasöre kopyalayın.

Yeni bir GPO oluşturun ve Computer Configuration → Policies → Software Settings → Software Installation bölümünde LAPS MSI paketini yüklemek için bir task oluşturun.

LAPS’ın x86 ve x64 sürümleri olduğunu lütfen unutmayın. Paketi uygun Windows sürümüne yüklemek için, Windows’un x86 ve x64 sürümleri için WMI GPO filtreleriyle 2 ayrı LAPS ilkesi oluşturabilirsiniz. Yalnızca gerekli OU’ya bir policy atamanız gerekir ve yeniden başlatmadan sonra LAPS istemcisi hedef OU’daki tüm bilgisayarlara yüklenmelidir.

Programs and Features bölümünde Local admin password management solution aracının yüklü olduğunu kontrol edin.

LAPS programı local administrator parolasını değiştirdiğinde, olayı Application log altına (Event ID:12, Source: AdmPwd) kaydeder.

Parolayı AD’ye kaydetme olayı da kaydedilir. (Event ID:13, Source: AdmPwd)

Yeni attributes’leri, AD computer özelliklerinde Attribute Editor tabında aşağıdaki şekilde görünür.

İpucu Parolanın geçerlilik süresi “Win32 FILETIME” formatında saklanır.

Administrator Password görüntülemek için LAPS kullanma

LAPS şifrelerini görüntülemek için LAPS grafik arabirimi (GUI) administrator bilgisayarlara yüklenmelidir.

Tool’u çalıştırır ve bilgisayar adını belirtirseniz, local administrator parolasını ve son geçerlilik tarihini görebilirsiniz.

microsoft laps

Parolanın son kullanma (expiration date) tarihi manuel olarak ayarlayabilir veya bu alanı boş bırakabilirsiniz. Set butonunu tıklayarak parolanın süresinin dolmuş olduğunu belirtebilirsiniz.

Ayrıca, PowerShell’i kullanarak bilgisayar parolasını alabilirsiniz.

Get-AdmPwdPassword -ComputerName <computername>

OU’daki tüm bilgisayarlardaki local administrators parolalarının tehlikede olduğunu düşünüyorsanız, tek bir PowerShell komutuyla OU’daki tüm bilgisayarlar için yeni unique local admin parolaları oluşturabilirsiniz. Bunu yapmak için Get-ADComputer cmdlet’ini kullanabilirsiniz.

Get-ADComputer -Filter * -SearchBase “OU=Desktops,DC=contoso,DC=com” | Reset-AdmPwdPassword -ComputerName {$_.Name}

Benzer şekilde, tüm bilgisayarlar için geçerli parolaların bir listesini görüntüleyebilirsiniz.

Get-ADComputer -Filter * -SearchBase “OU=Desktops,DC=contoso,DC=com” | Get-AdmPwdPassword -ComputerName {$_.Name}

LAPS, bir OU’daki bilgisayarlar için parolalara güvenli erişim olanağı sağlayan uygun bir çözüm olarak önerilebilir. Parolalar Active Directory computer attributes’lerde plain text (düz metin) olarak depolanır.