LAPS (Local Administrator Password Solution) –утилита для решения задачи управления паролями локальных администраторов на пользовательских ПК. Данная утилита позволяет хранить пароли в Active Directory в объекте типа Computer.
LAPS генерит и применяет уникальные пароли для локальных админов ПК (SID-500) в домене, используя технологию Group Policy Client Side Extension (CSE). Реализован функционал автоматической смены пароля через заданный интервал (по умолчанию 30 дней). Текущее значение пароля локального администратора, сохранятеся в конфиденциальном атрибуте учетки компьютера в AD. Доступ к объекту рапределеяется на основе групп безопасности AD.
Загрузить LAPS и ознакомится с документацией можно здесь: https://www.microsoft.com/en-us/download/details.aspx?id=46899
Управление утилитой утанавливается на компьютере администратора (Fat UI), для серверов и компьютеров пользователей, которые будут управляться, ставиться клиентская часть.
Реализация решения, предусматривает расширение схемы:
Update-AdmPwdADSchema
Данный этап добавляет атрибуты ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime в объект Computer.
Даны права учетным записям машин на модификацию собственных атрибутов (SELF), для изменение значений атрибутов ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime.
Создана групповая политика (Desktop/Security) Built-in Administrator, которая:
- Устанавливает клиентскую часть программы на ПК (стандартная установка пакетов msi);
- Переименовывает встроенную учетную запись администратора Administrator to jedi;
- Переименовывает встроенную учетную запись Гостя Guest to Administrator;
Применяет политику LAPS со следующими параметрами:
- Do not allow password expiration time longer than required by policy — Enabled
- Enable local admin password management — Enabled
- Password Settings — Enabled
- Password Complexity — Large letters + small letters + numbers
- Password Length — 10
- Password Age (Days) — 30
После выполнения политики — устанавливается клиент, который меняет пароль локального администратора и записывает его в атрибут объекта Computer.
По умолчанию просмотр пароля доступен только Domain Admins.
Для саппорта создана ACL-ка ACL-AdmPwdReadPassword и этой группе разрешен доступ на чтение атрибута:
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Desktop Computers,DC=itfb,DC=com.ua" -AllowedPrincipals ACL-AdmPwdReadPassword
Windows Desktop Support вкл в ACL-ку ACL-AdmPwdReadPassword.
Нужна помощь в администрирование Windows серверов, [email protected]