3/5 - (2 голоса)

LAPS (Local Administrator Password Solution) –утилита для решения задачи управления паролями локальных администраторов на пользовательских ПК. Данная утилита позволяет хранить пароли в Active Directory в объекте типа Computer.

LAPS генерит и применяет уникальные пароли для локальных админов ПК (SID-500) в домене, используя технологию Group Policy Client Side Extension (CSE). Реализован функционал автоматической смены пароля через заданный интервал (по умолчанию 30 дней). Текущее значение пароля локального администратора, сохранятеся в конфиденциальном атрибуте учетки компьютера в AD. Доступ к объекту рапределеяется на основе групп безопасности AD.

Загрузить LAPS и ознакомится с  документацией можно здесь: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Управление утилитой утанавливается на компьютере администратора (Fat UI), для серверов и компьютеров пользователей, которые будут управляться, ставиться клиентская часть.

Реализация решения, предусматривает расширение схемы:

Update-AdmPwdADSchema

Данный этап добавляет атрибуты ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime в объект Computer.

Даны права учетным записям машин на модификацию собственных атрибутов (SELF), для изменение значений атрибутов ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime.

Создана групповая политика (Desktop/Security) Built-in Administrator, которая:

  • Устанавливает клиентскую часть программы на ПК (стандартная установка пакетов msi);
  • Переименовывает встроенную учетную запись администратора Administrator to jedi;
  • Переименовывает встроенную учетную запись Гостя Guest to Administrator;

Применяет политику LAPS со следующими параметрами:

  • Do not allow password expiration time longer than required by policy — Enabled
  • Enable local admin password management — Enabled
  • Password Settings — Enabled
  • Password Complexity — Large letters + small letters + numbers
  • Password Length — 10
  • Password Age (Days) — 30

После выполнения политики — устанавливается клиент, который меняет пароль локального администратора и записывает его в атрибут объекта Computer.
По умолчанию просмотр пароля доступен только Domain Admins.
Для саппорта создана ACL-ка ACL-AdmPwdReadPassword и этой группе разрешен доступ на чтение атрибута:

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Desktop Computers,DC=itfb,DC=com.ua" -AllowedPrincipals ACL-AdmPwdReadPassword

Windows Desktop Support вкл в ACL-ку ACL-AdmPwdReadPassword.

Нужна помощь в администрирование Windows серверов, [email protected]