Salı , 25 Haziran 2019

Microsoft Local Admin Password Solution – LAPS

Microsoft Local Administrator Solution LAPS

Domaine alınan bilgisayarların local user larının password lerini değiştirmek için Microsoft un LAPS çözümü kullanılabilir. Server\Client lara LAPS agent kurulumu yapılması ve GPO ile password policy ler uygulanarak local userların password lerinin periyodik olarak değiştirilmesi gerçekleştirilir.

https://www.microsoft.com/en-us/download/details.aspx?id=46899

Yukarıdaki linkte server\client lara laps agent yüklemesi gerçekleştirir. Agent kurulumu manuel olarak aşağıdaki gibi kurulur.

clip_image004Microsoft Local Adminis

Tüm Domain Controller lara PowerShell Module vee GPO Editör Templates in kurulması gerekmektedir. Değişen local admin user ların password leri de Fat Client UI ile bulabiliriz.

Agent kuruluşlarını GPO ile gerçekleştiriyoromm. Agent ı paylaşılmıiş bir alan üzerinden tüm client lara kuruluşu sorunsuz gerçekleştiriyorum. Ortamda SCCM veya benzeri bir uygulama varsa msi i client lara yükleyebilirsiniz.

Local user password leri active directory de computer account ların attribute unda tutulur. Actice directory de adsi edit ile password leri ms-Mcs-AdmPwd de tutulur. Domain controller da schema ye 2 attribute eklenir.

Import-module AdmPwd.PS

Update-AdmPwdADSchema

Oluşturulacak password leri hangi user ların göreceğini OU nun properties ın advances securty de all extended rights hakkının olması gerekmektedir.

Find-AdmPwdExtendedrights –identity Ouismi | Format-Table ile OU nuzdaki computer lar objesinin attribute unda bulunan password leri kimlerin görebileceği kontrol edilir.

Set-AdmPwdComputerSelfPermission -OrgUnit Ouismi

Yukarıdaki komut ile computer ların password leri kendi computer objesinin ilgili attribute una yazma yetkisi verilir. Her OU için bu işlem tek tek yapılmalıdır.

Set-AdmPwdReadPasswordPermission -OrgUnit OUismi -AllowedPrincipals testdomain\Administrators,testdomain\L1Users

ile hangi kullanıcıların password leri göreceği belirlenir. Aynı anda birden fazla kullanıcıya yetki verilebilir.

Set-AdmPwdResetPasswordPermission -OrgUnit OUismi -AllowedPrincipals testdomain\Administrator

Komutu ile istenirse local user lar içim password set etme yetkisi de verilir. Ancak bu özelliği ben kullanmıyoruz.

Password policy ler aşağıdaki gibidir. Policy ler düzenlendikten sonra pc\server ların local password leri değiştirilmeye başlanır.

Name of administrator account to manage te “,” işareti ile ne kadar local admin hesabı varsa hepsi yazılarak password ler değiştirilir.

Yukarıdaki işlemlerden sonra adsi-edit üzernden client ların local admin password leri görülür.

Ayrıca LAPS GUI yi kuracağımız bilgisayar üzeriden de client\server ların local password lerini bulabiliriz.

Default olarak bırakılan local user password leri büyük güvenlik açığı oluşturmaktadır. Her client ın şifresinin aynı olduğu ortamda bir şifre ile tüm client lara erişim sağlanabileceği gibi çok client lı bir ortamda local userların hesap yönetiminin yönetimini de LAPS ile sağlayabiliriz.

Yoruma kapalı.

%d blogcu bunu beğendi: